[ Início ]
Vol. 2 (abr. 2026) | Pp. 222–223 | ISSN 3086-6103
Alerta: CrashStealer para macOS imita componente da Apple para roubar credenciais e dados sensíveis.
Estamos cientes de uma nova família de infostealer para macOS chamada CrashStealer, desenvolvida em C++ e destacada por se passar por um componente legítimo de relatórios de falha da Apple para capturar credenciais, dados de carteiras de criptomoedas e outras informações sensíveis, aplicando criptografia antes da exfiltração. O malware foi observado em ambiente real no início de julho de 2026 e, segundo a análise da Jamf Threat Labs, combina distribuição por dropper assinado, validação local de senha e técnicas de anti análise para aumentar a efetividade e reduzir a chance de detecção.
Contexto e origem
O CrashStealer foi identificado inicialmente pela Jamf Threat Labs a partir de um sample enviado ao VirusTotal em maio de 2026, quando ainda aparentava estar em fase de desenvolvimento, e voltou a ser detectado em atividade no início de julho de 2026, já em uso no mundo real. A cadeia de entrega observada envolve um DMG, arquivo normalmente usado para distribuir aplicativos e instaladores, chamado “Werkbit Setup”.
Cadeia de ataque
As investigações [1] indicam uma cadeia composta por um dropper assinado e notarizado, isto é, um instalador aparentemente legítimo usado para iniciar a infecção, seguido da execução do payload, da validação da senha do usuário, da coleta de dados, da criptografia das informações e da persistência no sistema
O ponto de entrada é um DMG com aparência confiável, um arquivo de disco normalmente usado para distribuir aplicativos e instaladores, que induz a vítima a abrir manualmente a aplicação [2] e preparar a carga maliciosa adicional.
Após a execução, o malware instala o segundo estágio em segundo plano e o mantém em um caminho oculto, o que dificulta a inspeção manual e a identificação imediata da origem do binário. Do ponto de vista técnico, o CrashStealer coleta dados de navegadores, carteiras de criptomoedas, gerenciadores de senhas e do Keychain, o cofre de credenciais do macOS, além de aplicar criptografia AES-GCM antes da exfiltração.
A persistência é estabelecida por meio de um LaunchAgent, mecanismo do macOS usado para iniciar processos automaticamente no login do usuário, com cópia do próprio binário para uma localização de cache. Além disso, o malware emprega técnicas de ocultação, como strings criptografadas e verificações anti-debugging.
Mitigações
Verifique se houve conexão com o IP 179.43.166.242 e confira se existem, no Mac, os arquivos e pastas ~/Library/LaunchAgents/com.apple.crashreporter.helper.plist e ~/Library/Caches/com.apple.crashreporter/, pois eles indicam a persistência do CrashStealer.
Se confirmado a presença do malware, o ideal é remover qualquer mecanismo de persistência, como LaunchAgents, itens de login e arquivos suspeitos em pastas de cache ou temporárias, e confirmar após reinicialização que nenhum processo ou conexão maliciosa reaparece. Também é recomendável trocar senhas, revogar sessões ativas, rotacionar tokens e revisar contas de e-mail, navegador, Keychain e carteiras de criptomoedas.
Referências
[1] Jamf Threat Labs. CrashStealer: C++ macOS infostealer posing as crash reporter. Disponível em: https://www.jamf.com/blog/crashstealer-macos-infostealer-analysis. Acesso em: 14 de julho de 2026.
[2] New CrashStealer malware poses as Apple crash reporting tool. Disponível em: https://www.bleepingcomputer.com/news/security/new-crashstealer-malware-poses-as-apple-crash-reporting-tool. Acesso em: 14 de julho de 2026.
Alerta: Cursor IDE executa arquivos maliciosos de repositórios Git
Pesquisadores encontraram uma nova vulnerabilidade a qual faz com que um ambiente de desenvolvimento Cursor possa executar arquivos binários maliciosos…
A superfície de ataque dos agentes de IA deixou de estar restrita a prompts de texto, documentos e páginas web.…
Vulnerabilidade crítica de bypass de autenticação no Cisco Catalyst SD-WAN (CVE-2026-20127)
Uma vulnerabilidade crítica, identificada como CVE-2026-20127, foi divulgada, dia 25 de Fevereiro, afetando componentes da plataforma Cisco Catalyst SD-WAN, anteriormente…
Campanha em larga escala explora CMS expostos e transforma sites legítimos em vetores de ataque
Uma campanha global de exploração em larga escala está atingindo plataformas de gerenciamento de conteúdo, os CMS, expostas na internet.…
Correções Juniper Julho 2026: Total de 26 boletins, 4 críticos, e o que priorizar
A Juniper publicou, no ciclo de julho de 2026, um conjunto expressivo de boletins de segurança envolvendo o Junos OS,…
Alerta: PoC pública automatiza Execução de Código Remota em ambientes n8n
Uma prova de conceito (PoC) pública voltou a chamar a atenção da comunidade de segurança, evidencia a exploração de duas…