🌟 Atualização imperdível para quem gosta de estar bem informado!

Leia, comente e fique sempre atualizado!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética sinalizaram um novo ladrão de informações do macOS chamado CrashStealer, que é capaz de coletar dados confidenciais de sistemas comprometidos.

Ao contrário de outros ladrões de informações criados em droppers AppleScript ou wrappers baseados em Objective-C, o CrashStealer é implementado em C++ nativo, de acordo com Jamf Threat Labs.

“Ele valida a senha de login da vítima localmente antes da coleta, coleta amplamente em navegadores, carteiras de criptomoedas, gerenciadores de senhas e chaves, criptografa o que coleta com AES-GCM antes de exfiltrar através do libcurl e persiste copiando e assinando novamente”, disse o pesquisador de segurança Thijs Xhaflaire em um relatório compartilhado com o The Hacker News.

Diz-se que o CrashStealer é distribuído por meio de um conta-gotas assinado e autenticado pela Apple, que é distribuído como um arquivo de imagem de disco chamado “Werkbit.app”. Como a imagem do disco e o binário são autenticados e possuem um ID de desenvolvedor válido ("Emil Grigorov (WWB7JA7AQV)"), ele passa nas verificações do Gatekeeper.

A própria imagem do disco se origina do domínio “werkbit[.]io”, que foi registrado em junho de 2026. Em uma reviravolta interessante, o download é protegido por um PIN de reunião, o que significa que o instalador é servido apenas aos visitantes do site que chegam com o código correto, e não a todos.

A descoberta de domínios adicionais e infraestrutura de back-end compartilhada vinculada à mesma operação indica que o CrashStealer faz parte de uma campanha maior e multiplataforma.

Uma vez montada, a imagem do disco apresenta ao usuário uma tela de configuração de instalação que o instrui a clicar com o botão direito do mouse no aplicativo e escolher “Abrir” para executá-lo. Uma vez iniciado, o executável “veltod” entra em contato com um repositório GitHub (“github.com/mgothiclove”) para recuperar um arquivo chamado “sys.cache”.

O arquivo é então usado para extrair um comando curl e extrair um script de shell, que atua como um downloader para buscar e preparar a próxima carga ("CrashReporter.dmg") e salvá-la no diretório "/tmp".

O malware, após a execução, estabelece persistência como um LaunchAgent, resiste à análise, apresenta um prompt de senha e valida a credencial inserida localmente, desbloqueia as chaves de login usando a senha validada, lista as ferramentas de segurança e análise instaladas, antes de prosseguir com a coleta de dados do navegador, extensões de carteira de criptomoeda, dados do gerenciador de senhas e material de chaves.

A lista completa dos dados coletados está abaixo -

Credenciais de navegadores da família Chromium, incluindo Google Chrome, Brave, Microsoft Edge, Opera e Opera GX, Vivaldi, Chromium e Naver Whale

Aproximadamente 80 extensões de carteira de criptomoeda, incluindo MetaMask, Phantom, Coinbase, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare e Backpack

14 gerenciadores de senhas, incluindo 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass e RoboForm

Arquivo dos diretórios ~/Documents e ~/Downloads



Os dados coletados são então empacotados em um arquivo ZIP e exfiltrados para um servidor controlado pelo invasor ("179.43.166[.]242").

“A cadeia de entrega do CrashStealer mostra cuidado real: em vez de uma isca simples e não assinada, os operadores enfrentam o ataque com um conta-gotas assinado e autenticado que libera o Gatekeeper antes de buscar, assinar novamente e lançar silenciosamente a carga útil”, disse Jamf.

“O que o diferencia da multidão de ladrões de commodities é menos o que ele coleta do que como é construído: criptografia AES-GCM do lado do cliente dos arquivos coletados e uma ênfase na resistência à análise por meio de nivelamento de fluxo de controle, strings criptografadas e anti-depuração em camadas.”

Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #malware #crashstealer #macos #usa #contagotas #autenticado #para #passar #nas #verificações #do #gatekeeper
💡 Compartilhe e ajude nosso projeto a crescer!

Post a Comment