
Los investigadores de ciberseguridad han informado sobre un nuevo ladrón de información de macOS llamado CrashStealer que puede recopilar datos confidenciales de sistemas comprometidos.
Según Jamf Threat Labs, a diferencia de otros ladrones de información creados con droppers de AppleScript o contenedores basados en Objective-C, CrashStealer se implementa en C++ nativo.
«Verifica las contraseñas de inicio de sesión de las víctimas localmente antes de recolectarlas, las recopila ampliamente en navegadores, billeteras criptográficas, administradores de contraseñas y llaveros, cifra lo que recopila con AES-GCM antes de filtrarlo a través de libcurl y persiste copiándose y volviendo a firmar», dijo el investigador de seguridad Thijs Xhaflaire en un informe compartido con Hacker News.
Se dice que CrashStealer se distribuye a través de un cuentagotas firmado y certificado por Apple que se distribuye como un archivo de imagen de disco llamado «Werkbit.app». La imagen del disco y el binario están certificados ante notario y contienen una identificación de desarrollador válida («Emil Grigorov (WWB7JA7AQV)»), por lo que pasan la verificación Gatekeeper.
La imagen del disco en sí es del dominio «werkbit(.)io», registrado en junio de 2026. En un giro interesante, la descarga se realiza mediante un PIN de conferencia y el instalador solo se ofrece a los visitantes del sitio que llegan con el código correcto, en lugar de a todos.
El descubrimiento de dominios adicionales e infraestructura de backend compartida asociados con la misma operación indica que CrashStealer es parte de una campaña multiplataforma más grande.
Una vez montada, la imagen del disco presenta la pantalla de configuración de instalación al usuario y le indica que haga clic derecho en la aplicación y seleccione (Abrir) para ejecutarla. Cuando se inicia el ejecutable «veltod», se conecta al repositorio de GitHub («github.com/mgothiclove») y recupera un archivo llamado «sys.cache».
Este archivo se utiliza luego para extraer el comando curl y extraer el script de shell. Este script de shell actúa como un descargador que recupera la siguiente carga útil (‘CrashReporter.dmg’), la organiza y la guarda en el directorio ‘/tmp’.
Una vez ejecutado, el malware establece persistencia como LaunchAgent, resiste el análisis, muestra una solicitud de contraseña, valida localmente las credenciales ingresadas, usa la contraseña validada para desbloquear el llavero de inicio de sesión, enumera las herramientas de análisis y seguridad instaladas y luego comienza a recopilar datos del navegador, extensiones de billetera de criptomonedas, datos del administrador de contraseñas y material del llavero.
La lista completa de datos recopilados se encuentra a continuación:
Credenciales de la familia de navegadores Chromium, incluidos Google Chrome, Brave, Microsoft Edge, Opera y Opera GX, Vivaldi, Chromium, Naver Whale. Aproximadamente 80 extensiones de billetera de criptomonedas, incluidas MetaMask, Phantom, Coinbase, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare, Backpack 1Password, Bitwarden, ~/Documents y LastPass, Dashlane, Keeper, Archivos KeePassXC, NordPass, Enpass y RoboForm del directorio ~/Descargas
Los datos recopilados se empaquetan en un archivo ZIP y se filtran a un servidor controlado por el atacante (‘179.43.166(.)242’).
«La cadena de entrega de CrashStealer es meticulosa. En lugar de un señuelo desnudo y sin firmar, el operador lanza el ataque con un cuentagotas firmado y notariado que silenciosamente recupera la carga útil antes de pasar a través del guardián, volver a firmarla y lanzarla», dijo Jamf.
«Lo que nos diferencia de los grupos de robo de productos básicos no es tanto lo que recopilamos, sino cómo lo construimos: cifrado AES-GCM del lado del cliente de los archivos recopilados y un énfasis en la resistencia al análisis a través de un flujo de control aplanado, cadenas cifradas y contramedidas de depuración en capas».
Source link
