Alerta por CrashStealer: Malware de macOS evade controles de seguridad
Publicado el
Introducción
CrashStealer es un nuevo malware diseñado para sistemas macOS, identificado por investigadores de seguridad como una amenaza significativa debido a su capacidad para robar información sensible de los equipos infectados. A diferencia de otros malware similares que suelen utilizar AppleScript o envoltorios en Objective-C, CrashStealer se implementa en C++ nativo, lo que le confiere ciertas ventajas operativas.
Funcionamiento del Malware
Según el análisis realizado por Jamf Threat Labs, este malware valida la contraseña de inicio de sesión de la víctima antes de proceder a la recolección de datos. Es capaz de recopilar información de múltiples fuentes, incluyendo: - Navegadores web (como Google Chrome, Brave, Microsoft Edge, entre otros). - Monederos de criptomonedas (incluyendo MetaMask, Coinbase y Exodus). - Gestores de contraseñas como 1Password, LastPass y Dashlane.
Los datos recogidos son encriptados utilizando AES-GCM antes de ser enviados a un servidor controlado por los atacantes. Esto se realiza a través de libcurl, y el malware se mantiene persistente al copiarse y volver a firmarse a sí mismo.
Método de Distribución
CrashStealer se distribuye a través de un dropper que está firmado y notarizado por Apple, presentado como una imagen de disco denominada Werkbit.app. Dado que tanto la imagen de disco como el binario cuentan con un ID de desarrollador válido, logran eludir los controles de Gatekeeper de macOS. La imagen de disco proviene del dominio werkbit[.]io, registrado en junio de 2026.
De forma adicional, el acceso al instalador está restringido mediante un PIN de reunión, lo que significa que solo los visitantes que ingresen el código adecuado pueden descargar el malware, aumentando así su eficacia y reduciendo su exposición.
Proceso de Instalación
Al montar la imagen de disco, se presenta a los usuarios una pantalla de instalación que les instruye a hacer clic derecho en la aplicación y seleccionar "Abrir" para ejecutarla. Una vez activada, el ejecutable conocido como "veltod" se conecta a un repositorio de GitHub para descargar un archivo llamado sys.cache. Este archivo es utilizado para extraer un comando de curl que baja un script de shell, actuando como downloader para obtener el siguiente payload, CrashReporter.dmg, que se guarda en el directorio /tmp.
Recolección de Datos
Al ejecutarse, el malware establece su persistencia como un LaunchAgent, evitando el análisis y solicitando una contraseña. Valida las credenciales ingresadas localmente y desbloquea el llavero de inicio de sesión utilizando la contraseña correcta. Luego, comienza a recopilar datos de los navegadores, extensiones de monederos de criptomonedas, datos de gestores de contraseñas y materiales del llavero.
Datos Específicos Robados
La lista completa de datos que CrashStealer puede robar incluye: - Credenciales de navegadores de la familia Chromium. - Información de aproximadamente 80 extensiones de monederos de criptomonedas. - Datos de 14 gestores de contraseñas. - Archivos de las carpetas ~/Documents y ~/Downloads.
Los datos recolectados son empaquetados en un archivo ZIP y exfiltrados a un servidor controlado por los atacantes.
Conclusión
La cadena de entrega de CrashStealer demuestra un enfoque cuidadoso por parte de los operadores, quienes utilizan un dropper notarizado para eludir las medidas de seguridad de macOS. Lo que distingue a CrashStealer de otros ladrones de información es la implementación técnica, que incluye cifrado AES-GCM a nivel del cliente, junto con un énfasis en la resistencia al análisis mediante técnicas como el aplanamiento del flujo de control y cadenas encriptadas. Esta amenaza resalta la necesidad de una mayor concienciación sobre la seguridad entre los usuarios de macOS.