Vol. 2 (abr. 2026) | Pp. 222–223 | ISSN 3086-6103
Alerta: CrashStealer para macOS imita componente da Apple para roubar credenciais e dados sensíveis.
Estamos cientes de uma nova família de infostealer para macOS chamada CrashStealer, desenvolvida em C++ e destacada por se passar por um componente legítimo de relatórios de falha da Apple para capturar credenciais, dados de carteiras de criptomoedas e outras informações sensíveis, aplicando criptografia antes da exfiltração. O malware foi observado em ambiente real no início de julho de 2026 e, segundo a análise da Jamf Threat Labs, combina distribuição por dropper assinado, validação local de senha e técnicas de anti análise para aumentar a efetividade e reduzir a chance de detecção.
Contexto e origem
O CrashStealer foi identificado inicialmente pela Jamf Threat Labs a partir de um sample enviado ao VirusTotal em maio de 2026, quando ainda aparentava estar em fase de desenvolvimento, e voltou a ser detectado em atividade no início de julho de 2026, já em uso no mundo real. A cadeia de entrega observada envolve um DMG, arquivo normalmente usado para distribuir aplicativos e instaladores, chamado “Werkbit Setup”.
Cadeia de ataque
As investigações [1] indicam uma cadeia composta por um dropper assinado e notarizado, isto é, um instalador aparentemente legítimo usado para iniciar a infecção, seguido da execução do payload, da validação da senha do usuário, da coleta de dados, da criptografia das informações e da persistência no sistema
O ponto de entrada é um DMG com aparência confiável, um arquivo de disco normalmente usado para distribuir aplicativos e instaladores, que induz a vítima a abrir manualmente a aplicação [2] e preparar a carga maliciosa adicional.
Após a execução, o malware instala o segundo estágio em segundo plano e o mantém em um caminho oculto, o que dificulta a inspeção manual e a identificação imediata da origem do binário. Do ponto de vista técnico, o CrashStealer coleta dados de navegadores, carteiras de criptomoedas, gerenciadores de senhas e do Keychain, o cofre de credenciais do macOS, além de aplicar criptografia AES-GCM antes da exfiltração.
A persistência é estabelecida por meio de um LaunchAgent, mecanismo do macOS usado para iniciar processos automaticamente no login do usuário, com cópia do próprio binário para uma localização de cache. Além disso, o malware emprega técnicas de ocultação, como strings criptografadas e verificações anti-debugging.
Mitigações
Verifique se houve conexão com o IP 179.43.166.242 e confira se existem, no Mac, os arquivos e pastas ~/Library/LaunchAgents/com.apple.crashreporter.helper.plist e ~/Library/Caches/com.apple.crashreporter/, pois eles indicam a persistência do CrashStealer.
Se confirmado a presença do malware, o ideal é remover qualquer mecanismo de persistência, como LaunchAgents, itens de login e arquivos suspeitos em pastas de cache ou temporárias, e confirmar após reinicialização que nenhum processo ou conexão maliciosa reaparece. Também é recomendável trocar senhas, revogar sessões ativas, rotacionar tokens e revisar contas de e-mail, navegador, Keychain e carteiras de criptomoedas.
Referências
[1] Jamf Threat Labs. CrashStealer: C++ macOS infostealer posing as crash reporter. Disponível em: https://www.jamf.com/blog/crashstealer-macos-infostealer-analysis. Acesso em: 14 de julho de 2026.
[2] New CrashStealer malware poses as Apple crash reporting tool. Disponível em: https://www.bleepingcomputer.com/news/security/new-crashstealer-malware-poses-as-apple-crash-reporting-tool. Acesso em: 14 de julho de 2026.