La notizia in sintesi
- CrashStealer colpisce macOS fingendosi il crash reporter di Apple.
- Il malware è stato rilevato in attacchi reali da Jamf Threat Labs.
- Un falso prompt acquisisce password e dati conservati nel Keychain.
- Apple ha revocato le credenziali usate per firmare il dropper.
(Riassunto generato con AI)
CrashStealer prende di mira gli utenti Mac
CrashStealer è un nuovo infostealer per macOS individuato dai ricercatori di Jamf Threat Labs, che nelle prime settimane di luglio lo hanno rilevato in attacchi reali. Il malware si presenta come lo strumento di segnalazione crash di Apple, imitandone nome, icona e bundle identifier com.apple.crashreporter, con l’obiettivo di non destare sospetti tra i processi in esecuzione.
La minaccia punta a sottrarre password, certificati, chiavi private e file personali, sfruttando la fiducia degli utenti nei componenti di sistema macOS. Jamf aveva già osservato il campione a maggio, quando risultava ancora in sviluppo, ma il passaggio a campagne attive indica che il progetto è diventato operativo.
Il caso è rilevante perché la distribuzione ha inizialmente sfruttato un dropper firmato e notarizzato da Apple, quindi capace di superare Gatekeeper senza avvisi. Non si tratta però di un attacco automatico: per l’infezione è necessario che l’utente scarichi e avvii manualmente l’app malevola.
Il falso CrashReporter e il furto delle credenziali
Il payload viene distribuito in un’immagine disco chiamata Werkbit Setup. Werkbit si presenta come un’app per collaborazione o meeting e il suo sito, che dichiara clienti importanti, risulta registrato soltanto a fine giugno. Il download è protetto da PIN, una misura che limita l’accesso agli utenti selezionati e rende più difficile l’analisi automatizzata da parte dei ricercatori.
Dopo l’avvio, il dropper scarica silenziosamente uno script da un repository GitHub, decodificato durante l’esecuzione attraverso più livelli di Base64. Lo script recupera poi il payload finale, scritto in C++ nativo: una caratteristica che distingue CrashStealer da molti infostealer per Mac basati su AppleScript o wrapper Objective-C.
Il malware mostra quindi una finestra di autenticazione identica a quella di macOS e richiede la password dell’account. La verifica avviene mediante il comando legittimo dscl; il prompt continua a comparire finché non viene inserita la password corretta.
Ottenuta la credenziale, CrashStealer può sbloccare il Keychain di accesso, dove macOS conserva password, certificati e chiavi private. Raccoglie inoltre file dalle cartelle Documenti, Download e Scrivania, evitando cache, log e archivi pesanti, probabilmente per ridurre il peso dei dati sottratti e restare meno visibile.
Prima dell’invio a un server di comando e controllo, i dati vengono compressi in archivi ZIP nascosti e cifrati con AES-256-GCM. Per mantenersi sul dispositivo, il malware si copia in una cartella nascosta della libreria utente e crea un LaunchAgent eseguito a ogni accesso.
Secondo Jamf, CrashStealer condivide finalità con famiglie già note come Atomic (AMOS) e MacSync, ma adotta implementazione C++ e cifratura lato client. Queste scelte rendono più complessa l’analisi forense dei file rubati.
Revoca della firma e controlli consigliati
Apple ha revocato le credenziali di firma associate all’app malevola dopo la condivisione dell’analisi di Jamf con il team di sicurezza dell’azienda. La revoca blocca quella specifica modalità di distribuzione, ma non rimuove automaticamente eventuali copie già presenti sui Mac colpiti.
Un controllo utile riguarda Login Items e la presenza del LaunchAgent com.apple.crashreporter.helper, che non appartiene al sistema operativo originale. In caso di sospetta compromissione, non va riavviata l’app sospetta: occorre eseguire una scansione aggiornata, cambiare le password da un dispositivo pulito e revocare le sessioni dei servizi sensibili.
La vicenda conferma una tendenza già osservata anche da MisterGadget.Tech: gli infostealer per Mac aumentano per numero e sofisticazione, mirando in particolare a credenziali e wallet crypto.
FAQ
CrashStealer può infettare un Mac automaticamente?
No. L’utente deve scaricare e avviare manualmente l’app Werkbit: la minaccia non è descritta come attacco zero-click.
Quale app viene usata per distribuire CrashStealer?
Sì. Il dropper è distribuito come immagine disco denominata Werkbit Setup, presentata come applicazione di collaborazione o meeting.
Quale elemento può rivelare l’infezione?
Sì. La presenza del LaunchAgent com.apple.crashreporter.helper in Login Items è un indicatore, poiché non fa parte di macOS.
Apple ha bloccato il certificato del malware?
Sì. Apple ha revocato le credenziali di firma usate dal dropper dopo l’analisi condivisa da Jamf Threat Labs.
Come è stato verificato questo contenuto?
Sì. Il contenuto nasce da un’analisi approfondita e da una verifica incrociata condotta dalla nostra Redazione su numerose fonti, tra cui MisterGadget.Tech.




