Los investigadores de Jamf Threat Labs han descubierto un nuevo malware para macOS que se hace pasar por un informe del sistema sobre el fallo de una aplicación. Bautizado como CrashStealer, utiliza una ventana de error falsa para engañar al usuario y obtener la contraseña del Mac.
Si se introduce la contraseña, CrashStealer puede acceder a una amplia variedad de datos personales. Entre los objetivos están los gestores de contraseñas, monederos de criptomonedas y otra información confidencial almacenada en el dispositivo. Según Jamf, las primeras muestras comenzaron a rastrearse a principios de mayo y, a comienzos de julio, ya había indicios de uso en ataques reales.
CrashStealer se distribuía mediante una imagen de disco llamada Werkbit Setup. En su interior estaba la aplicación Werkbit.app, cuyo ejecutable se llamaba veltod. El método era especialmente peligroso porque, en una primera etapa, el DMG y la aplicación contaban con una firma Apple Developer ID válida y notarización, por lo que Gatekeeper permitía su ejecución inicial.
Según Macworld, Apple ya ha revocado las credenciales del desarrollador, así que Gatekeeper debería reconocer esta versión de la amenaza. Aun así, conviene mantener la cautela: los atacantes pueden cambiar el empaquetado, las firmas y los nombres de archivo sin alterar la lógica del ataque.
La recomendación principal sigue siendo la misma — descargar aplicaciones solo desde la Mac App Store o desde las webs oficiales de desarrolladores de confianza. También conviene desconfiar de informes de fallo y solicitudes de contraseña inesperados, sobre todo si una ventana afirma que «Ajustes del Sistema» quiere realizar cambios.