- Investigadores de Jamf descubren “CrashStealer”, un ladrón de información de macOS certificado ante notario que se hace pasar por el reportero de fallos de Apple
- Distribuido a través de un sitio falso llamado “Workbit Setup”, evita el guardián e instala un agente de lanzamiento.
- Luego utiliza una solicitud de contraseña falsa para desbloquear el llavero, extrayendo credenciales, cookies, archivos y datos de 80 billeteras criptográficas y 14 administradores de contraseñas.
Se ha detectado un nuevo ladrón de información de macOS, haciéndose pasar por una herramienta de informes de fallos de Apple, advierten los expertos.
Llamado CrashStealer, este ladrón de información en C++ fue diseñado para obtener credenciales de inicio de sesión, información de llavero, así como datos relacionados con más de 80 carteras de criptomonedas.
El investigador de ciberseguridad Jamoff publicó un informe detallado sobre el malware, señalando que CrashStealer probablemente se distribuyó a través de un sitio de software falso que se registró recientemente.
Desbloquear el llavero
Las víctimas que acceden al sitio (ya sea a través de recomendaciones de redes sociales o resultados de motores de búsqueda) necesitan conocer el código PIN antes de iniciar la descarga. Probablemente esto se hizo para evitar el escrutinio de los analistas, así como para mejorar la credibilidad percibida y una sensación de exclusividad.
Normalmente, las aplicaciones descargadas de fuentes de terceros son analizadas por Gatekeeper, el sistema de seguridad integrado de Apple. Sin embargo, Jamf dice que esta carga útil se entrega a través de un instalador firmado y certificado por Apple y como una imagen de disco llamada “Workbit Setup”, que le permite eludir el control sin previo aviso.
Las personas que descarguen y ejecuten el programa obtendrán un binario llamado ‘CrashReporter.app’, que creará un LaunchAgent (‘com.apple.crashreporter.helper’) y verán una solicitud de contraseña falsa de macOS.
Este mensaje desbloquea el llavero del usuario donde se almacenan la mayoría de sus secretos (contraseñas, claves criptográficas privadas y más) y luego entrega toda esa información a un servidor de terceros.
Además de los datos de Keychain, el malware CrashReporter extrae credenciales y cookies del navegador de la mayoría de los navegadores, 80 extensiones de billetera de criptomonedas, 14 administradores de contraseñas, archivos almacenados localmente y más.
CrashReporter se superpone, hasta cierto punto, con otros InfoStellar conocidos (AMOS, por ejemplo), pero sigue siendo bastante único debido a su enfoque de cifrado del lado del cliente, así como a su implementación nativa de C++, dijo Zamoff.

El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.