Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Apple dice que un ex empleado aprovechó un error «raro» para descargar archivos confidenciales después de dejar OpenAI

Las acusaciones más extravagantes en la demanda de secretos comerciales de Apple contra OpenAI

El malware CrashStealer para macOS utiliza un cuentagotas notariado para pasar las comprobaciones del guardián

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»El malware CrashStealer para macOS utiliza un cuentagotas notariado para pasar las comprobaciones del guardián
Identidad

El malware CrashStealer para macOS utiliza un cuentagotas notariado para pasar las comprobaciones del guardián

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 13, 2026No hay comentarios4 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Ravi Lakshmanan13 de julio de 2026Seguridad de terminales/crimen cibernético

Los investigadores de ciberseguridad han informado sobre un nuevo ladrón de información de macOS llamado CrashStealer que puede recopilar datos confidenciales de sistemas comprometidos.

Según Jamf Threat Labs, a diferencia de otros ladrones de información creados con droppers de AppleScript o contenedores basados ​​en Objective-C, CrashStealer se implementa en C++ nativo.

«Verifica las contraseñas de inicio de sesión de las víctimas localmente antes de recolectarlas, las recopila ampliamente en navegadores, billeteras criptográficas, administradores de contraseñas y llaveros, cifra lo que recopila con AES-GCM antes de filtrarlo a través de libcurl y persiste copiándose y volviendo a firmar», dijo el investigador de seguridad Thijs Xhaflaire en un informe compartido con Hacker News.

Se dice que CrashStealer se distribuye a través de un cuentagotas firmado y certificado por Apple que se distribuye como un archivo de imagen de disco llamado «Werkbit.app». La imagen del disco y el binario están certificados ante notario y contienen una identificación de desarrollador válida («Emil Grigorov (WWB7JA7AQV)»), por lo que pasan la verificación Gatekeeper.

La imagen del disco en sí es del dominio «werkbit(.)io», registrado en junio de 2026. En un giro interesante, la descarga se realiza mediante un PIN de conferencia y el instalador solo se ofrece a los visitantes del sitio que llegan con el código correcto, en lugar de a todos.

El descubrimiento de dominios adicionales e infraestructura de backend compartida asociados con la misma operación indica que CrashStealer es parte de una campaña multiplataforma más grande.

Una vez montada, la imagen del disco presenta la pantalla de configuración de instalación al usuario y le indica que haga clic derecho en la aplicación y seleccione (Abrir) para ejecutarla. Cuando se inicia el ejecutable «veltod», se conecta al repositorio de GitHub («github.com/mgothiclove») y recupera un archivo llamado «sys.cache».

Este archivo se utiliza luego para extraer el comando curl y extraer el script de shell. Este script de shell actúa como un descargador que recupera la siguiente carga útil (‘CrashReporter.dmg’), la organiza y la guarda en el directorio ‘/tmp’.

Una vez ejecutado, el malware establece persistencia como LaunchAgent, resiste el análisis, muestra una solicitud de contraseña, valida localmente las credenciales ingresadas, usa la contraseña validada para desbloquear el llavero de inicio de sesión, enumera las herramientas de análisis y seguridad instaladas y luego comienza a recopilar datos del navegador, extensiones de billetera de criptomonedas, datos del administrador de contraseñas y material del llavero.

La lista completa de datos recopilados se encuentra a continuación:

Credenciales de la familia de navegadores Chromium, incluidos Google Chrome, Brave, Microsoft Edge, Opera y Opera GX, Vivaldi, Chromium, Naver Whale. Aproximadamente 80 extensiones de billetera de criptomonedas, incluidas MetaMask, Phantom, Coinbase, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare, Backpack 1Password, Bitwarden, ~/Documents y LastPass, Dashlane, Keeper, Archivos KeePassXC, NordPass, Enpass y RoboForm del directorio ~/Descargas

Los datos recopilados se empaquetan en un archivo ZIP y se filtran a un servidor controlado por el atacante (‘179.43.166(.)242’).

«La cadena de entrega de CrashStealer es meticulosa. En lugar de un señuelo desnudo y sin firmar, el operador lanza el ataque con un cuentagotas firmado y notariado que silenciosamente recupera la carga útil antes de pasar a través del guardián, volver a firmarla y lanzarla», dijo Jamf.

«Lo que nos diferencia de los grupos de robo de productos básicos no es tanto lo que recopilamos, sino cómo lo construimos: cifrado AES-GCM del lado del cliente de los archivos recopilados y un énfasis en la resistencia al análisis a través de un flujo de control aplanado, cadenas cifradas y contramedidas de depuración en capas».


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleLas tonterías de Sam Altman sobre los centros de datos espaciales es algo que la mayoría de los expertos ya creen
Next Article Las acusaciones más extravagantes en la demanda de secretos comerciales de Apple contra OpenAI
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Google y Microsoft retiran 1,6 millones de instalaciones de ModHeader después de descubrir un recopilador inactivo

julio 13, 2026

ShareFile Threat, Citrix Bleed 2 Ransomware, AI Coding Attacks, and More

julio 13, 2026

El nuevo ataque MemGhost implanta recuerdos falsos persistentes en agentes de IA a través de un único correo electrónico

julio 13, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Apple dice que un ex empleado aprovechó un error «raro» para descargar archivos confidenciales después de dejar OpenAI

Las acusaciones más extravagantes en la demanda de secretos comerciales de Apple contra OpenAI

El malware CrashStealer para macOS utiliza un cuentagotas notariado para pasar las comprobaciones del guardián

Las tonterías de Sam Altman sobre los centros de datos espaciales es algo que la mayoría de los expertos ya creen

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.