CrashStealer su macOS: un falso rapporto di arresto chiede la password del Mac

Danny Weber

L'infostealer per macOS usava un'app notarizzata per superare Gatekeeper e sottrarre dati da password manager, wallet crypto e browser.

I ricercatori di Jamf Threat Labs hanno scoperto un nuovo malware per macOS che si maschera da rapporto di sistema relativo all'arresto anomalo di un'applicazione. Chiamato CrashStealer, mostra una falsa finestra di errore per convincere l'utente a inserire la password del Mac.

Se la password viene inserita, CrashStealer può accedere a numerosi dati personali. Nel mirino finiscono password manager, wallet di criptovalute e altre informazioni sensibili archiviate sul dispositivo. Secondo Jamf, i primi campioni sono stati monitorati all'inizio di maggio e, nei primi giorni di luglio, erano già emersi segnali di impiego in attacchi reali.

CrashStealer veniva distribuito tramite un'immagine disco chiamata Werkbit Setup. Al suo interno si trovava l'applicazione Werkbit.app, il cui eseguibile era denominato veltod. Il metodo era particolarmente pericoloso perché, in una fase iniziale, il DMG e l'app disponevano di una firma Apple Developer ID valida e della notarizzazione, riuscendo così a superare Gatekeeper al primo avvio.

Secondo Macworld, Apple ha già revocato le credenziali dello sviluppatore, quindi Gatekeeper dovrebbe riconoscere questa versione della minaccia. La prudenza resta comunque necessaria: gli aggressori possono cambiare pacchetto, firme e nomi dei file senza modificare la logica dell'attacco.

La raccomandazione principale resta la stessa — scaricare le applicazioni solo dal Mac App Store o dai siti ufficiali di sviluppatori affidabili. È inoltre consigliabile diffidare di rapporti di arresto e richieste di password inattesi, soprattutto se una finestra sostiene che «Impostazioni di Sistema» voglia apportare modifiche.

© RusPhotoBank