I ricercatori di Jamf hanno individuato un nuovo malware, denominato CrashStealer, che sembra il tool di segnalazione dei crash di macOS. Lo scopo dei cybercriminali è rubare credenziali e criptovalute. Un campione è stato scoperto a maggio su VirusTotal, ma era una versione preliminare. Il primo attacco è stato invece rilevato all’inizio di luglio.
Descrizione di CrashStealer
I ricercatori hanno scoperto che l’accesso iniziale avviene tramite un’immagine DMG che contiene l’installer dell’app Werkbit (una presunta piattaforma di collaborazione). Non è noto come viene distribuito (forse tramite phishing che porta sul sito fasullo), ma si tratta di un’eseguibile firmato e approvato da Apple, quindi supera i controlli di Gatekeeper senza mostrare avvisi di pericolo.
All’avvio viene chiesta la password dell’account con un prompt simile a quello legittimo. Ciò permette di accedere al Keychain dell’utente e quindi a credenziali, token, chiavi cifrate e altri dati sensibili. CrashStealer può inoltre rubare credenziali e cookie da Firefox e browser basati su Chromium, file da varie directory e dati da 14 password manager. Può anche accedere alle estensioni per browser di 80 wallet di criptovalute.
I dati vengono quindi cifrati con l’algoritmo AES-256-GCM, inserito in un archivio ZIP nascosto e inviati al server C2 (command-and-control). Per ostacolare l’analisi del codice sono state utilizzate varie tecniche. Le funzionalità sono simili ad altri noti infostealer per macOS, ma sfrutta un diverso meccanismo crittografico ed è scritto in linguaggio C++ (invece del più diffuso Objective-C).
Gli esperti di Malwarebytes forniscono alcuni utili consigli. Evitare di scaricare presunti tool di Crash Reporting, in quanto è già incluso in macOS. Ovviamente si deve prestare molta attenzione alle richieste di password.