Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Nuevo malware para macOS imita informes de Apple para robar credenciales


CrashStealer es un programa malicioso diseñado para macOS, escrito en C++, que se hace pasar por la herramienta de informes de errores de Apple. Su objetivo es robar credenciales de navegadores, billeteras de criptomonedas, gestores de contraseñas y contenidos del llavero, para luego cifrar la información y enviarla a un servidor remoto. Jamf detectó la primera muestra sospechosa en VirusTotal a principios de mayo de 2026.





CrashStealer es un infostealer nativo de C++ para macOS que se hace pasar por la utilidad de reporte de errores integrada de Apple para recolectar credenciales de navegadores, billeteras de criptomonedas, datos de gestores de contraseñas y contenidos del llavero, antes de cifrarlo y exfiltrarlo todo a un servidor de comando y control remoto.

Jamf detectó primero una muestra sospechosa en VirusTotal a principios de mayo de 2026 que parecía ser un infostealer aún en construcción. Para principios de julio, las detecciones en entornos reales confirmaron que el malware había madurado hacia un despliegue activo, lo que llevó a los investigadores a rastrearlo formalmente como CrashStealer.

A diferencia de los stealers comunes de macOS, que suelen basarse en droppers de AppleScript o envoltorios ligeros de Objective-C, CrashStealer está escrito enteramente en C++ nativo alrededor de una clase interna llamada MacOSData, lo que lo diferencia de familias como Atomic (AMOS), MacSync y Phexia, a pesar de tener objetivos similares.

El acceso inicial comienza con una imagen de disco llamada “Werkbit Setup”, que contiene un paquete de aplicación firmado con un ID de desarrollador legítimo y un ticket de notarización grapado que le permite superar Gatekeeper en el primer lanzamiento.

macOS Stealer Mimics Apple's Crash Report

Esto es inusual: incluso el contenedor de la imagen de disco está firmado, un toque raro en las campañas maliciosas de DMG. Una vez abierto, el dropper recupera discretamente un script de shell ofuscado desde una infraestructura alojada en GitHub, decodifica múltiples capas de comandos codificados en Base64 y descarga la carga útil real disfrazada como “CrashReporter.app”, completa con el identificador de paquete de Apple com.apple.crashreporter y un icono coincidente.

Una vez en funcionamiento, CrashStealer valida la contraseña de inicio de sesión de la víctima localmente a través de dscl, desbloquea el llavero y analiza las herramientas de seguridad instaladas antes de comenzar la recolección. Su alcance es extenso:

  • Navegadores de la familia Chromium (Chrome, Brave, Edge, Opera, Vivaldi) y almacenamientos de credenciales de Firefox.
  • Aproximadamente 80 extensiones de billeteras de criptomonedas que abarcan Ethereum, Solana, Cosmos, TON y otros ecosistemas.
  • 14 gestores de contraseñas, incluidos 1Password, Bitwarden y LastPass.
  • El llavero de inicio de sesión del usuario y un reconocimiento más amplio del sistema de archivos en Documentos y Descargas.

Esta amplitud refleja patrones vistos en el panorama moderno de stealers para macOS, donde el robo de credenciales centrado en criptomonedas se ha convertido en un objetivo dominante.

Lo que distingue técnicamente a CrashStealer es su uso de cifrado AES-256-GCM en el lado del cliente a través del framework CommonCrypto de Apple para cifrar los datos almacenados antes de empaquetarlos en archivos ZIP y exfiltrarlos a través de libcurl, un nivel de seguridad operativa que no se ve habitualmente en los stealers basados en AppleScript.

Este enfoque de "cifrado primero", junto con medidas anti-análisis como el aplanamiento del flujo de control y comprobaciones anti-depuración por capas, refleja una tendencia más amplia de que las familias de malware de macOS están profesionalizando sus tácticas, un cambio que los investigadores de la industria han señalado a medida que las amenazas para macOS evolucionan de scripts oportunistas a operaciones estructuradas y empresariales.

macOS Stealer Mimics Apple's Crash Report

Para lograr la persistencia, CrashStealer se copia y se firma a sí mismo de forma ad hoc, luego instala un LaunchAgent etiquetado como com.apple.crashreporter.helper para sobrevivir a los reinicios, continuando la temática de suplantación de Apple en su capa de persistencia.

Jamf también vinculó la campaña a un panel de operador en vivo y dominios de infraestructura adicionales, lo que sugiere que CrashStealer es parte de una operación multiplataforma más grande en lugar de una herramienta aislada.

Este descubrimiento se suma a un cuerpo creciente de investigaciones que muestran que los infostealers de macOS están cerrando rápidamente la brecha de sofisticación con sus homólogos de Windows, con volúmenes de detección y complejidad técnica aumentando drásticamente a lo largo de 2025 y entrando en 2026.



Fuentes:
https://cybersecuritynews.com/macos-stealer-mimics-apples-crash-report/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.