- Advertisement -spot_img

El malware CrashStealer para macOS utiliza un cuentagotas notariado para pasar las comprobaciones del guardián

Los investigadores de ciberseguridad han detectado un nuevo ladrón de información de macOS llamado Crash Stealer que es capaz de recopilar datos confidenciales de sistemas comprometidos.

A diferencia de otros ladrones de información que se basan en droppers de AppleScript o envoltorios basados ​​en Objective-C, CrashStealer se implementa en C++ nativo, según Jamf Threat Labs.

“Valida la contraseña de inicio de sesión de la víctima localmente antes de recolectarla, la recopila ampliamente en navegadores, billeteras de criptomonedas, administradores de contraseñas y el llavero, cifra lo que recopila con AES-GCM antes de filtrarlo a través de libcurl y persiste copiándose y volviendo a firmar”, dijo el investigador de seguridad Thijs Xhaflaire en un informe compartido con The Hacker News.

Se dice que CrashStealer se distribuye mediante un cuentagotas firmado y certificado por Apple que se distribuye como un archivo de imagen de disco llamado “Werkbit.app”. Debido a que tanto la imagen del disco como el binario están certificados ante notario y llevan una identificación de desarrollador válida (“Emil Grigorov (WWB7JA7AQV)”), pasa las comprobaciones de Gatekeeper.

La imagen del disco en sí se origina en el dominio “werkbit(.)io”, que se registró en junio de 2026. En un giro interesante, la descarga se realiza detrás de un PIN de reunión, lo que significa que el instalador se entrega solo a aquellos visitantes del sitio que llegan con el código correcto y no a todos.

El descubrimiento de dominios adicionales e infraestructura de backend compartida vinculada a la misma operación apunta a que CrashStealer es parte de una campaña multiplataforma más grande.

Una vez montada, la imagen del disco presenta al usuario una pantalla de configuración de la instalación que le indica que haga clic derecho en la aplicación y elija “Abrir” para que la ejecute. Una vez iniciado, el ejecutable “veltod” contacta un repositorio de GitHub (“github.com/mgothiclove”) para recuperar un archivo llamado “sys.cache”.

LEER  Más de 1000 instancias de ComfyUI expuestas dirigidas a la campaña de botnet de criptominería

Luego, el archivo se usa para extraer un comando curl y extraer un script de shell, que actúa como un descargador para buscar y preparar la siguiente carga útil (“CrashReporter.dmg”) y la guarda en el directorio “/tmp”.

El malware, tras su ejecución, establece persistencia como LaunchAgent, resiste el análisis, presenta una solicitud de contraseña y valida la credencial ingresada localmente, desbloquea el llavero de inicio de sesión usando la contraseña validada, enumera las herramientas de seguridad y análisis instaladas, antes de proceder a recopilar datos del navegador, extensiones de billetera de criptomonedas, datos del administrador de contraseñas y material del llavero.

La lista completa de datos recopilados se encuentra a continuación:

  • Credenciales de navegadores de la familia Chromium, incluidos Google Chrome, Brave, Microsoft Edge, Opera y Opera GX, Vivaldi, Chromium y Naver Whale
  • Aproximadamente 80 extensiones de billeteras de criptomonedas, incluidas MetaMask, Phantom, Coinbase, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare y Backpack.
  • 14 administradores de contraseñas, incluidos 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass y RoboForm
  • Archivo de los directorios ~/Documentos y ~/Descargas

Los datos recopilados luego se empaquetan en un archivo ZIP y se extraen a un servidor controlado por el atacante (“179.43.166(.)242”).

“La cadena de entrega de CrashStealer muestra un verdadero cuidado: en lugar de un señuelo simple y sin firmar, los operadores enfrentan el ataque con un cuentagotas firmado y notariado que limpia Gatekeeper antes de buscar, volver a firmar y lanzar silenciosamente la carga útil”, dijo Jamf.

“Lo que lo distingue de la multitud de ladrones de productos básicos es menos lo que recopila sino cómo se construye: cifrado AES-GCM del lado del cliente de los archivos recopilados y un énfasis en la resistencia al análisis a través del aplanamiento del flujo de control, cadenas cifradas y antidepuración en capas”.

LEER  GitHub deshabilitará los scripts de instalación de npm de forma predeterminada para detener los ataques a la cadena de suministro
- Advertisement -spot_img

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Últimos artículos

Noticias relacionadas

- Advertisement -spot_img