crashstealer macos

CrashStealer colpisce macOS: ruba credenziali e wallet con un dropper notarizzato

🛡️ Executive Summary

  • CrashStealer arriva tramite Werkbit.app, un disk image firmato e notarizzato che supera i controlli iniziali di Gatekeeper.
  • Il malware ruba credenziali Chromium, dati da circa 80 wallet, informazioni da 14 password manager, keychain e file personali.
  • La mitigazione richiede revoca del certificato, rimozione del LaunchAgent, rotazione delle credenziali e controllo dei repository e domini coinvolti.

CrashStealer è un nuovo infostealer per macOS scritto interamente in C++ nativo, progettato per sottrarre credenziali dai browser Chromium, dati da wallet di criptovalute, contenuti dei gestori di password e file personali conservati nelle cartelle Documents e Downloads. La catena di infezione sfrutta un dropper firmato e notarizzato da Apple, distribuito come applicazione Werkbit, per ridurre gli avvisi di sicurezza e superare i controlli iniziali di Gatekeeper. Dopo l’esecuzione, il malware convince l’utente a inserire la password di login, sblocca il keychain, raccoglie i dati, li comprime e li cifra con AES-GCM prima di inviarli all’infrastruttura degli attaccanti.

CrashStealer usa C++ nativo e un’identità sviluppatore valida

Annuncio

I ricercatori di Jamf Threat Labs hanno individuato CrashStealer durante il monitoraggio delle minacce rivolte ai sistemi Apple, con un’analisi tecnica condivisa dal ricercatore Thijs Xhaflaire. Il malware si distingue da numerose famiglie macOS perché non dipende da AppleScript, da wrapper Objective-C o da catene composte prevalentemente da script, ma implementa in C++ nativo le principali funzioni di raccolta, persistenza, anti-analisi ed esfiltrazione. Il dropper risulta firmato con l’identificativo sviluppatore “Emil Grigorov (WWB7JA7AQV)”, elemento che consente al pacchetto iniziale di presentarsi al sistema come software proveniente da uno sviluppatore riconosciuto. La distribuzione parte dal dominio werkbit.io, registrato nel giugno 2026, che propone il disk image contenente Werkbit.app e limita l’accesso attraverso un PIN presentato come codice di meeting.

image 361
CrashStealer colpisce macOS: ruba credenziali e wallet con un dropper notarizzato 8

Questa modalità aggiunge una componente di selezione alla campagna, riduce l’esposizione automatizzata del payload e può rendere meno immediata l’analisi da parte di crawler e sistemi di sicurezza. La presenza di infrastrutture condivise con altri domini suggerisce inoltre che CrashStealer possa inserirsi in un’operazione più ampia e potenzialmente multipiattaforma. Il ricorso a certificati validi e procedure di notarizzazione rappresenta ormai un tratto ricorrente nelle campagne contro macOS, dove gli attaccanti cercano di sfruttare la fiducia costruita attorno ai controlli Apple nello stesso modo in cui campagne precedenti hanno distribuito Atomic Stealer attraverso annunci sponsorizzati e false applicazioni.

Il dropper notarizzato supera Gatekeeper e scarica il payload da GitHub

La catena di distribuzione inizia con il file disk image che contiene Werkbit.app, firmato e notarizzato insieme al relativo binario. La notarizzazione non rende sicura l’applicazione, ma indica che il pacchetto ha superato i controlli automatici eseguiti al momento della verifica e consente quindi di ridurre le frizioni generate da Gatekeeper. Dopo aver montato il disk image, l’utente visualizza una schermata che lo invita a fare clic con il tasto destro e selezionare “Apri”, procedura spesso utilizzata nelle campagne macOS per aggirare la naturale diffidenza verso applicazioni scaricate fuori dal Mac App Store.

image 362
CrashStealer colpisce macOS: ruba credenziali e wallet con un dropper notarizzato 9

L’eseguibile iniziale, denominato veltod, contatta il repository GitHub github.com/mgothiclove e recupera un file chiamato sys.cache. Il contenuto non costituisce ancora il payload definitivo, ma contiene un comando curl incaricato di scaricare uno script shell successivo. Lo script agisce come downloader e deposita nella directory /tmp il disk image CrashReporter.dmg, scegliendo un nome che richiama deliberatamente il servizio legittimo di macOS utilizzato per la segnalazione dei crash.

image 363
CrashStealer colpisce macOS: ruba credenziali e wallet con un dropper notarizzato 10

L’abuso di GitHub permette agli operatori di appoggiarsi a un’infrastruttura affidabile e normalmente consentita nelle reti aziendali, separando il primo stadio firmato dal malware vero e proprio. La tecnica ricorda l’evoluzione delle campagne ClickFix con DMG invisibili e infostealer macOS distribuiti attraverso il Terminale, ma CrashStealer introduce una catena maggiormente strutturata e un payload compilato nativamente.

Browser Chromium, wallet e password manager sono gli obiettivi principali

Una volta avviato, CrashStealer esegue una raccolta estesa delle informazioni presenti sul Mac. Il malware cerca dati nei profili di Google Chrome, Brave, Microsoft Edge, Opera, Opera GX, Vivaldi, Chromium e Naver Whale, puntando a password salvate, cookie, sessioni, cronologia e altri artefatti utili a ricostruire l’identità digitale della vittima. La componente dedicata alle criptovalute prende di mira circa 80 estensioni wallet, tra cui MetaMask, Phantom, Coinbase, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare e Backpack.

image 364
CrashStealer colpisce macOS: ruba credenziali e wallet con un dropper notarizzato 11

La raccolta non si limita ai browser: CrashStealer cerca informazioni anche in 14 gestori di password, inclusi 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass e RoboForm. L’obiettivo è costruire un archivio capace di contenere credenziali personali, accessi professionali, seed phrase, cookie autenticati e token che possono consentire il controllo di account senza richiedere nuovamente l’autenticazione. Il malware copia inoltre file dalle cartelle Documents e Downloads, due directory nelle quali gli utenti conservano frequentemente documenti riservati, esportazioni di wallet, backup, fatture, scansioni, archivi e configurazioni. Questa ampiezza operativa colloca CrashStealer nella stessa tendenza osservata con Shub Reaper, malware macOS capace di imitare servizi Apple, Google e Microsoft per rubare dati e wallet, ma con una maggiore enfasi sulla raccolta automatica e sulla protezione del canale di esfiltrazione.

La falsa richiesta di password sblocca il login keychain

Il passaggio più delicato dell’infezione coincide con la richiesta della password di login del Mac. CrashStealer mostra una finestra progettata per indurre l’utente a inserire la credenziale locale, quindi ne verifica la validità direttamente sul sistema. In questa fase la password non viene necessariamente inviata all’esterno: viene utilizzata per sbloccare il login keychain e permettere al malware di accedere ai dati protetti dal portachiavi di macOS.

image 365
CrashStealer colpisce macOS: ruba credenziali e wallet con un dropper notarizzato 12

Questo meccanismo sfrutta un elemento fondamentale del modello di sicurezza Apple, perché numerose operazioni sensibili richiedono comunque l’interazione dell’utente. Il malware non tenta quindi soltanto di aggirare le protezioni tecniche, ma integra l’ingegneria sociale nella propria sequenza operativa per ottenere l’autorizzazione necessaria. Una volta aperto il keychain, CrashStealer può raccogliere password, certificati, token e altri segreti memorizzati dalle applicazioni. Prima dell’esfiltrazione, il codice enumera anche gli strumenti di sicurezza e analisi presenti sul computer, cercando prodotti endpoint, debugger e utility che potrebbero interferire con l’esecuzione. La capacità di sottrarre informazioni dal keychain aumenta notevolmente l’impatto dell’incidente: la compromissione non resta confinata al Mac colpito, ma può estendersi a servizi cloud, caselle email, account aziendali, piattaforme di sviluppo e sistemi finanziari accessibili con le credenziali recuperate.

LaunchAgent e anti-debugging proteggono l’esecuzione del malware

Per sopravvivere ai riavvii, CrashStealer si copia sul sistema e stabilisce la persistenza attraverso un LaunchAgent, uno dei meccanismi legittimi utilizzati da macOS per avviare applicazioni e processi durante la sessione dell’utente. Il malware procede inoltre a una nuova firma del proprio componente, tentando di mantenere un’apparenza coerente durante le fasi successive dell’infezione. La persistenza consente agli operatori di ripetere la raccolta e di accedere a nuovi file o credenziali create dopo il primo avvio. Sul piano della protezione del codice, CrashStealer utilizza control-flow flattening, stringhe cifrate e tecniche anti-debugging stratificate. L’appiattimento del flusso di controllo altera la struttura logica del programma e rende più difficile ricostruire il percorso di esecuzione attraverso il disassemblaggio; la cifratura delle stringhe nasconde domini, percorsi, comandi e nomi delle funzioni finché non vengono utilizzati; i controlli anti-debugging cercano invece di identificare sandbox, strumenti di reverse engineering e condizioni anomale. L’adozione congiunta di queste tecniche indica uno sviluppo più maturo rispetto agli stealer macOS basati quasi esclusivamente su script leggibili. La scelta del C++ permette agli attaccanti di integrare direttamente funzioni di sistema, librerie crittografiche e componenti di rete, riducendo al tempo stesso gli indicatori visibili durante una semplice ispezione statica.

I dati vengono compressi e cifrati con AES-GCM prima dell’esfiltrazione

Al termine della raccolta, CrashStealer organizza i dati in un archivio ZIP e applica una cifratura client-side basata su AES-GCM. Questa modalità offre confidenzialità e autenticazione del contenuto, impedendo a sistemi intermedi di leggere direttamente i file sottratti o modificarli senza invalidare il tag crittografico. Il malware utilizza libcurl per inviare l’archivio verso il server controllato dagli attaccanti all’indirizzo 179.43.166.242. La cifratura prima della trasmissione rende meno efficace l’ispezione del traffico basata esclusivamente sul contenuto e obbliga le difese a concentrarsi su indicatori comportamentali, destinazioni di rete, processi coinvolti e anomalie nei volumi trasferiti. L’infrastruttura combina il dominio werkbit.io, il repository GitHub impiegato per il downloader e il server finale dedicato all’esfiltrazione, separando le diverse fasi della catena. Il malware non mostra funzioni di keylogging e sembra privilegiare la raccolta passiva di informazioni già presenti sul computer, strategia che riduce il rumore operativo e accelera il furto. L’assenza di keylogging non riduce però la gravità della minaccia, perché browser, password manager, wallet e keychain contengono già una quantità sufficiente di materiale per compromettere identità digitali e asset finanziari.

Utenti e aziende devono considerare compromesse tutte le credenziali accessibili

La notarizzazione del dropper rende CrashStealer particolarmente insidioso perché può convincere l’utente che il software sia stato verificato e approvato da Apple. In realtà, firma e notarizzazione attestano l’identità utilizzata per la distribuzione e il superamento di controlli automatici in un determinato momento, ma non garantiscono che il codice resti sicuro o che non scarichi componenti successivi. Gli utenti che hanno eseguito Werkbit.app o CrashReporter.dmg devono considerare potenzialmente compromessi browser, wallet, password manager, keychain e documenti accessibili dal profilo. La sola rimozione del file iniziale non è sufficiente: occorre identificare ed eliminare il LaunchAgent, terminare i processi associati, verificare i file presenti in /tmp, revocare sessioni browser, ruotare password e chiavi API, trasferire eventuali fondi crypto verso wallet nuovi e controllare le attività anomale sugli account. In ambito aziendale è necessario bloccare gli indicatori di rete, verificare la presenza dei file e dei nomi utilizzati nella catena, analizzare i log endpoint e imporre una nuova autenticazione per gli utenti coinvolti. La campagna conferma che macOS non è un ambiente immune dal malware e che la crescita degli infostealer segue l’aumento del valore custodito nei browser e nei wallet. Il rischio più concreto non è soltanto la perdita immediata dei dati, ma l’utilizzo differito delle credenziali sottratte per frodi, accessi persistenti, compromissioni cloud e movimenti non autorizzati di criptovalute.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto