Pesquisadores de cibersegurança identificaram um novo ladrão de informações para macOS chamado CrashStealer, capaz de coletar dados sensíveis de sistemas comprometidos.
Diferente de outros ladrões de informações baseados em droppers (carregadores) em AppleScript (linguagem de scripts da Apple) ou wrappers (empacotadores) em Objective-C (linguagem de programação orientada a objetos da Apple), o CrashStealer é implementado em C++ nativo, de acordo com o Jamf Threat Labs.
"Ele valida a senha de login da vítima localmente antes da coleta, reúne dados de forma ampla em navegadores, carteiras de criptomoedas, gerenciadores de senhas e no keychain (cadeia de chaves do sistema), criptografa tudo o que coleta com AES-GCM (Advanced Encryption Standard - Galois/Counter Mode, padrão avançado de criptografia no modo Galois/Contador) antes de exfiltrar via libcurl, e mantém persistência copiando e reassinando a si mesmo", afirmou o pesquisador de segurança Thijs Xhaflaire em um relatório compartilhado com o The Hacker News.
O CrashStealer é distribuído por meio de um dropper assinado e notarizado pela Apple, disponibilizado como um arquivo de imagem de disco chamado "Werkbit.app". Como tanto a imagem de disco quanto o binário são notarizados e carregam um ID de desenvolvedor válido ("Emil Grigorov (WWB7JA7AQV)"), o software passa pelas verificações do Gatekeeper (mecanismo de segurança do macOS que bloqueia a execução de aplicativos não confiáveis).
A própria imagem de disco se origina do domínio "werkbit[.]io", registrado em junho de 2026. Em um detalhe curioso, o download é protegido por um PIN (Personal Identification Number, número de identificação pessoal) de reunião, o que significa que o instalador é disponibilizado apenas para visitantes do site que chegam com o código correto, e não para todos.
A descoberta de outros domínios e de uma infraestrutura de backend compartilhada ligados à mesma operação indica que o CrashStealer faz parte de uma campanha maior e multiplataforma.
Uma vez montada, a imagem de disco apresenta ao usuário uma tela de instalação que o orienta a clicar com o botão direito no aplicativo e escolher "Abrir" para executá-lo. Ao ser iniciado, o executável "veltod" entra em contato com um repositório no GitHub ("github.com/mgothiclove") para obter um arquivo chamado "sys.cache".
O arquivo é então usado para extrair um comando curl e baixar um script shell, que atua como downloader (programa responsável por baixar outros componentes) para buscar e preparar o próximo payload ("CrashReporter.dmg") e salvá-lo no diretório "/tmp".
Ao ser executado, o malware estabelece persistência como um LaunchAgent (agente de inicialização do sistema, equivalente a um serviço que inicia com o macOS), resiste a análises, exibe um prompt de senha e valida a credencial informada localmente, desbloqueia o keychain de login usando a senha validada, lista ferramentas de segurança e análise instaladas e, em seguida, coleta dados de navegadores, extensões de carteiras de criptomoedas, dados de gerenciadores de senhas e materiais do keychain.
A lista completa dos dados coletados está abaixo:
- Credenciais de navegadores da família Chromium, incluindo Google Chrome, Brave, Microsoft Edge, Opera, Opera GX, Vivaldi, Chromium e Naver Whale;
- Cerca de 80 extensões de carteiras de criptomoedas, incluindo MetaMask, Phantom, Coinbase, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare e Backpack;
- 14 gerenciadores de senhas, incluindo 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass e RoboForm;
- Arquivos dos diretórios ~/Documents e ~/Downloads.
Os dados coletados são então empacotados em um arquivo ZIP e exfiltrados para um servidor controlado pelos atacantes ("179.43.166[.]242").
"A cadeia de entrega do CrashStealer demonstra um cuidado real: em vez de uma isca simples e não assinada, os operadores colocam na frente do ataque um dropper assinado e notarizado que passa pelo Gatekeeper antes de buscar, reassinar e executar o payload de forma silenciosa", afirmou a Jamf.
"O que o diferencia da multidão de stealers comuns é menos o que ele coleta e mais como é construído: criptografia AES-GCM no lado do cliente para os arquivos coletados e ênfase em resistência a análises por meio de achatamento de fluxo de controle, strings criptografadas e múltiplas camadas anti-depuração."