Um novo ataque está a aproveitar uma das interfaces mais familiares do macOS para enganar os utilizadores. Chamado CrashStealer, o malware imita o sistema de relatórios de falhas da Apple e usa essa aparência legítima para pedir permissões, obter a palavra-passe do Mac e roubar dados confidenciais.
A ameaça foi identificada pela empresa especializada em cibersegurança Jamf Threat Labs e já foi encontrada em utilização real. Entre os alvos estão informações guardadas nos navegadores, gestores de palavras-passe, carteiras de criptomoedas, ficheiros pessoais e dados do Chaveiro do macOS.
O caso chama especialmente a atenção porque o instalador malicioso chegou a estar assinado e autenticado pela Apple. Como observa o MacRumors, isso permitiu que passasse inicialmente pelo Gatekeeper, a proteção do macOS que tenta bloquear aplicações não confiáveis descarregadas da Internet.
CrashStealer imita uma ferramenta do macOS
O ataque identificado pela Jamf começava com um falso instalador chamado Werkbit. Depois de aberto, este descarregava uma aplicação chamada CrashReporter, criada para copiar o nome, o ícone e outros elements da verdadeira ferramenta de relatórios de falhas da Apple.
Desta forma, o utilizador podia acreditar que estava perante um componente legítimo do sistema, quando, na realidade, o programa estava a preparar o roubo de informações do computador.
A aplicação Werkbit estava assinada com uma credencial de programador e tinha passado pelo processo de autenticação da Apple. Isto permitia que o instalador ultrapassasse inicialmente o Gatekeeper sem apresentar os avisos habituais de software suspeito.
Malware pede a palavra-passe do Mac
Depois da instalação, o CrashStealer mostra uma janela semelhante às solicitações de autorização do macOS. O malware pede acesso total ao disco e solicita a palavra-passe do utilizador, verificando localmente se está correta para conseguir desbloquear e copiar dados confidenciais do Chaveiro.
Com a palavra-passe correta, o malware consegue desbloquear e copiar dados do Chaveiro. Este é o sistema do macOS onde podem ficar guardadas palavras-passe, chaves de acesso e outras informações confidenciais.
Navegadores, ficheiros e gestores de palavras-passe estão entre os alvos
Como destaca o site Help Net Security, o CrashStealer procura dados em navegadores baseados no Chromium e no Firefox, além de ficheiros guardados nas pastas Documentos e Transferências.
A ameaça visa recolher informações de 14 gestores de palavras-passe (como 1Password e Bitwarden) e de mais de 80 extensões de carteiras de criptomoedas, incluindo MetaMask, Coinbase Wallet e Trust Wallet.
Depois do acesso, os dados são encriptados e comprimidos em ficheiros ocultos e enviados para um servidor controlado pelos atacantes.
CrashStealer tenta arrancar sempre com o Mac
Além de roubar informações, o CrashStealer tenta permanecer instalado no computador. Para isso, copia-se para outra pasta e configura um LaunchAgent.
O LaunchAgent é um mecanismo legítimo do macOS que permite iniciar aplicações automaticamente quando o utilizador entra na sua conta.
Ainda de acordo com o Help Net Security, o malware usa o nome “com.apple.crashreporter.helper” para parecer mais uma vez um componente oficial da Apple e reduzir as suspeitas do utilizador.
Os investigadores também encontraram técnicas criadas para dificultar a análise do código, incluindo informações que só são descodificadas durante a execução e verificações que tentam perceber se o programa está a ser estudado por especialistas em segurança.
Apple já bloqueou o instalador identificado
Após receber o alerta da Jamf, a Apple revogou as credenciais usadas para assinar a aplicação Werkbit, o que significa que o instalador específico analisado deverá passar a ser bloqueado pelos mecanismos de segurança do macOS.
Ainda assim, o CrashStealer poderá regressar através de outras aplicações, assinaturas ou métodos de distribuição.
O facto de o download original exigir um PIN também sugere que a campanha poderia estar direcionada a pessoas específicas, em vez de ser distribuída de forma totalmente indiscriminada.
Como evitar cair no ataque
Há um detalhe simples que ajuda a identificar esta ameaça: a verdadeira ferramenta de relatórios de falhas da Apple já vem integrada no macOS e nunca precisará de ser descarregada da Internet.
Por isso, qualquer aplicação que tente instalar um programa chamado CrashReporter ou softwares com nomes ou funções semelhantes devem ser encarados como um forte sinal de alerta.
Também convém desconfiar de aplicações recém-instaladas que pedem imediatamente a palavra-passe do sistema ou acesso total ao disco sem uma justificação clara. Antes de conceder estas permissões, é importante confirmar a origem do software e descarregá-lo apenas a partir de fontes de confiança.
Vê também:
