CrashStealer sur macOS : un faux rapport de plantage réclame le mot de passe du Mac

CrashStealer vole les mots de passe Mac avec un faux rapport de plantage
© RusPhotoBank

Les chercheurs de Jamf Threat Labs ont découvert un nouveau logiciel malveillant pour macOS qui se fait passer pour un rapport système signalant le plantage d'une application. Baptisé CrashStealer, il affiche une fausse fenêtre de plantage afin de soutirer le mot de passe du Mac.

Si le mot de passe est saisi, CrashStealer peut accéder à de nombreuses données personnelles. Les gestionnaires de mots de passe, portefeuilles de cryptomonnaies et autres informations sensibles stockées sur l'appareil sont notamment menacés. Selon Jamf, les premiers échantillons ont été suivis début mai et, au début du mois de juillet, des indices montraient déjà une utilisation dans de véritables attaques.

CrashStealer était diffusé dans une image disque nommée Werkbit Setup. Celle-ci contenait l'application Werkbit.app, dont l'exécutable s'appelait veltod. Le procédé était particulièrement dangereux car le DMG et l'application disposaient initialement d'une signature Apple Developer ID valide et d'une notarisation, ce qui leur permettait de franchir Gatekeeper au premier lancement.

D'après Macworld, Apple a déjà révoqué les identifiants du développeur, si bien que Gatekeeper devrait reconnaître cette version de la menace. La prudence reste toutefois de mise : les attaquants peuvent modifier l'emballage, les signatures et les noms de fichiers tout en conservant la même logique d'attaque.

La recommandation principale ne change pas — télécharger les applications uniquement depuis le Mac App Store ou les sites officiels de développeurs de confiance. Il faut également se méfier des rapports de plantage et demandes de mot de passe inattendus, surtout lorsqu'une fenêtre affirme que « Réglages Système » souhaite effectuer des modifications.