CrashStealer: stealer para macOS usa dropper notarizado pela Apple para driblar o Gatekeeper

CrashStealer: stealer para macOS usa dropper notarizado pela Apple para driblar o Gatekeeper

Malware nativo em C++ valida a senha de login da vítima localmente, coleta dados de navegadores, carteiras de criptomoedas, gerenciadores de senha e do keychain, cifra tudo com AES-GCM e exfiltra via libcurl.

ComponenteCrashStealer, um information stealer para macOS implementado em C++ nativo, distribuído por um dropper assinado e notarizado pela Apple entregue como imagem de disco Werkbit[.]app, com análise atribuída ao Jamf Threat Labs.
VetorDropper notarizado com Developer ID válido ("Emil Grigorov (WWB7JA7AQV)") que passa pelas verificações do Gatekeeper; a imagem de disco vem do domínio werkbit[.]io, registrado em junho de 2026, com download restrito por um PIN de reunião, e a vítima é induzida a usar clique direito e "Open" para executar o binário.
ImpactoApós validar localmente a senha de login e desbloquear o keychain, o malware coleta credenciais de navegadores baseados em Chromium, cerca de 80 extensões de carteiras de criptomoedas, dados de 14 gerenciadores de senha e material do keychain, empacota em ZIP, cifra com AES-GCM e exfiltra para um servidor controlado pelo operador.
PrioridadeBloquear a infraestrutura conhecida, sinalizar a revogação de confiança no Developer ID abusado, caçar LaunchAgents recém-criados e conexões de saída ao IP de exfiltração, além de rotacionar segredos potencialmente coletados.
ArtefatosImagem de disco Werkbit[.]app; executável veltod; arquivo sys.cache recuperado de repositório no GitHub controlado pelo operador (github[.]com/mgothiclove); payload em segundo estágio CrashReporter.dmg gravado em /tmp; persistência como LaunchAgent.
IoCsDomínio de entrega werkbit[.]io (defangado); servidor de exfiltração 179.43.166[.]242 (defangado); Developer ID abusado "Emil Grigorov (WWB7JA7AQV)". Indicadores adicionais e backend compartilhado sugerem campanha multiplataforma mais ampla.
Resumo técnico

Uma nova família de information stealer para macOS, batizada de CrashStealer, foi documentada pelo Jamf Threat Labs por meio do pesquisador Thijs Xhaflaire. Diferentemente da maior parte dos stealers para macOS, que se apoiam em droppers escritos em AppleScript ou em wrappers baseados em Objective-C, o CrashStealer é implementado em C++ nativo. Essa escolha de implementação vem acompanhada de um forte investimento em resistência à análise, com achatamento de fluxo de controle (control-flow flattening), strings cifradas e múltiplas camadas de antidepuração, o que aumenta o custo de engenharia reversa e de detecção estática.

O diferencial operacional do CrashStealer não está apenas no que ele coleta, mas em como a cadeia de entrega é montada para atravessar as barreiras de confiança do macOS. Em vez de um lure sem assinatura, os operadores colocam à frente da operação um dropper assinado e notarizado pela Apple, que passa pelas verificações do Gatekeeper antes de buscar, reassinar e executar o payload principal. A distribuição observada ocorre por uma imagem de disco chamada Werkbit[.]app, tanto o disco quanto o binário notarizados e carregando um Developer ID válido, atribuído no material analisado a "Emil Grigorov (WWB7JA7AQV)".

Fluxo técnico

A imagem de disco tem origem no domínio werkbit[.]io, registrado em junho de 2026, e o download é condicionado a um PIN de reunião: o instalador é servido apenas a visitantes que chegam com o código correto, o que reduz a exposição a analistas e sandboxes automatizadas e sinaliza uma distribuição direcionada. Uma vez montada, a imagem exibe uma tela de configuração de instalação que orienta o usuário a clicar com o botão direito no aplicativo e escolher "Open", uma técnica de engenharia social usada para contornar avisos padrão e levar a vítima a executar voluntariamente o binário.

Ao ser executado, o componente veltod contata um repositório no GitHub controlado pelo operador (github[.]com/mgothiclove) para recuperar um arquivo chamado sys.cache. Esse arquivo é usado para extrair um comando de download (o detalhe operacional é omitido aqui) e obter um shell script que atua como downloader, buscando e preparando o próximo estágio, CrashReporter.dmg, gravado no diretório /tmp. Já com o payload principal em execução, o malware estabelece persistência como LaunchAgent, resiste à análise, apresenta um prompt de senha e valida a credencial informada localmente. Com a senha validada, ele desbloqueia o login keychain, enumera ferramentas de segurança e análise instaladas e então parte para a coleta de dados. O material harvestado é empacotado em um arquivo ZIP, cifrado no lado do cliente com AES-GCM e exfiltrado por libcurl para um servidor controlado pelo atacante, identificado no contexto como 179.43.166[.]242 (defangado). A existência de domínios adicionais e de backend compartilhado indica que o CrashStealer faz parte de uma campanha maior e multiplataforma.

Superfície afetada

O alvo é o ambiente do usuário em endpoints macOS, com foco em segredos armazenados por navegadores, carteiras de criptomoedas, gerenciadores de senha e no próprio keychain do sistema. Como o dropper é notarizado e carrega Developer ID válido, hosts que confiam exclusivamente no Gatekeeper para bloquear execuções não confiáveis ficam mais expostos, sobretudo quando o usuário é induzido a executar o aplicativo via clique direito e "Open".

  • Credenciais de navegadores da família Chromium, incluindo Google Chrome, Brave, Microsoft Edge, Opera e Opera GX, Vivaldi, Chromium e Naver Whale.
  • Cerca de 80 extensões de carteiras de criptomoedas, entre elas MetaMask, Phantom, Coinbase, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare e Backpack.
  • Dados de 14 gerenciadores de senha, incluindo 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass e RoboForm.
  • Material do login keychain, desbloqueado após a validação local da senha fornecida pela vítima no prompt exibido pelo malware.
Hunting e telemetria

A investigação deve combinar telemetria de endpoint no macOS com monitoramento de rede e de identidade. Como a cadeia depende de execução iniciada pelo usuário, de persistência via LaunchAgent e de tráfego de saída para infraestrutura de estágio e de exfiltração, esses são os pontos de maior valor para caça proativa e para triagem retroativa em ambientes que possam ter recebido o lure.

  • Montagem de imagens de disco não usuais e execução de aplicativos com nomes como Werkbit[.]app, seguidas de escrita de CrashReporter.dmg em /tmp.
  • Criação recente de LaunchAgents e execução de um processo veltod, além de leitura/escrita de arquivos como sys.cache.
  • Conexões de saída para o domínio werkbit[.]io, para o servidor de exfiltração 179.43.166[.]242 e para repositórios no GitHub usados como estágio (github[.]com/mgothiclove).
  • Prompts de senha fora de contexto seguidos de acesso ao login keychain e de leitura em massa de diretórios de perfis de navegadores, extensões de carteiras e gerenciadores de senha.
  • Uso do Developer ID "Emil Grigorov (WWB7JA7AQV)" em binários assinados como pivô de correlação entre hosts.
Mitigação

A resposta deve priorizar a contenção da execução e da exfiltração, seguida da rotação de todo segredo potencialmente coletado. Por a notarização ter sido abusada, é importante sinalizar o Developer ID envolvido para revogação e não confiar apenas no Gatekeeper como controle único de execução.

  • Isolar hosts suspeitos e bloquear a infraestrutura conhecida (werkbit[.]io, 179.43.166[.]242 e o repositório de estágio no GitHub) em proxy, firewall e DNS.
  • Remover LaunchAgents maliciosos, o executável veltod e artefatos em /tmp como CrashReporter.dmg, validando a limpeza com uma nova varredura.
  • Rotacionar credenciais de navegadores, senhas em gerenciadores afetados e chaves de carteiras de criptomoedas, além de revisar itens do keychain expostos.
  • Comunicar o Developer ID abusado à Apple para revogação e reforçar políticas que exijam mais do que a notarização para permitir execução em endpoints gerenciados.
  • Orientar usuários a desconfiar de instaladores que pedem clique direito e "Open" e de prompts de senha exibidos por aplicativos recém-instalados.

Postar um comentário

0 Comentários