CrashStealer: malware para macOS rouba senhas e criptos

Escrito por
Jardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...

Conheça o CrashStealer, o novo malware que se disfarça de uma ferramenta do macOS para roubar senhas, credenciais e carteiras de criptomoedas.

Durante muitos anos, o macOS carregou a reputação de ser um sistema operacional menos visado por criminosos virtuais. Embora a plataforma da Apple continue oferecendo uma arquitetura de segurança robusta, essa percepção de “imunidade” está cada vez mais distante da realidade. O surgimento do CrashStealer é mais um exemplo de como os cibercriminosos estão desenvolvendo ameaças específicas para usuários de Mac.

Descoberto por pesquisadores da Jamf Threat Labs, o CrashStealer é um infostealer projetado para roubar informações confidenciais sem chamar a atenção da vítima. A campanha utiliza técnicas avançadas de engenharia social, mecanismos de persistência e coleta seletiva de dados para acessar senhas, credenciais, carteiras de criptomoedas e informações armazenadas no Keychain do macOS.

A análise também mostra uma mudança importante no cenário de ameaças digitais. Em vez de explorar apenas vulnerabilidades técnicas, os atacantes investem em interfaces convincentes e no abuso de recursos legítimos do próprio sistema operacional para aumentar a taxa de sucesso das infecções. Para usuários domésticos, profissionais de TI e administradores de sistemas, entender como esse malware funciona é o primeiro passo para evitar prejuízos.

Como o CrashStealer invade computadores com macOS

O processo de infecção foi desenvolvido para parecer legítimo desde o início.

Segundo a análise técnica da Jamf Threat Labs, o malware é distribuído por meio de um instalador chamado Werkbit Setup, apresentado como se fosse um software confiável. Em determinadas etapas, a campanha utiliza componentes assinados de forma válida, reduzindo as suspeitas durante a instalação e dificultando a identificação imediata da ameaça.

Depois de executado, o malware cria um LaunchAgent chamado com.apple.crashreporter.helper.

O nome não foi escolhido por acaso.

Ele imita a nomenclatura utilizada pelos próprios serviços internos do macOS, fazendo com que usuários e até alguns administradores menos experientes acreditem que o processo pertence ao sistema operacional.

Esse componente garante a persistência da ameaça, permitindo que ela seja carregada automaticamente sempre que o usuário iniciar uma nova sessão no computador.

Malware

Como o malware engana o usuário para obter a senha

Um dos aspectos mais sofisticados do CrashStealer é a forma como ele captura as credenciais da vítima.

Após a instalação, o malware exibe uma janela de autenticação praticamente idêntica às caixas de diálogo utilizadas pelo macOS quando alguma operação exige privilégios administrativos.

Como esse tipo de solicitação faz parte da rotina de muitos usuários, principalmente durante instalações de programas ou alterações nas configurações do sistema, a tela falsa dificilmente desperta suspeitas.

Quando a senha é digitada, ela não é enviada imediatamente aos criminosos.

Primeiro, o malware utiliza o comando dscl (Directory Service command line) para verificar localmente se aquela credencial realmente pertence ao usuário conectado.

Caso a senha esteja incorreta, uma nova solicitação é exibida, reproduzindo exatamente o comportamento esperado de um componente legítimo do sistema. Esse cuidado aumenta significativamente a eficiência da campanha e reduz o envio de credenciais inválidas aos operadores do malware.

O Keychain se torna um dos principais alvos

Depois de confirmar a senha da vítima, o CrashStealer passa a procurar informações armazenadas no Keychain, o gerenciador de credenciais integrado ao macOS.

Esse recurso funciona como um cofre digital, armazenando diversos dados confidenciais, entre eles:

  • Senhas salvas no Safari;
  • Credenciais de aplicativos;
  • Tokens de autenticação;
  • Certificados digitais;
  • Chaves privadas;
  • Informações utilizadas por diversos serviços da Apple e de terceiros.

O acesso ao Keychain pode permitir que criminosos comprometam contas pessoais, ambientes corporativos e até serviços protegidos por autenticação multifator, dependendo dos dados armazenados pela vítima.

Em outras palavras, uma única infecção pode abrir caminho para diversos ataques posteriores.

Carteiras de criptomoedas e gerenciadores de senhas estão entre os principais alvos

O objetivo do CrashStealer vai muito além do roubo de senhas tradicionais.

Os pesquisadores identificaram que o malware procura especificamente por cerca de 80 extensões de carteiras de criptomoedas, incluindo soluções populares como MetaMask e Phantom.

Essas carteiras armazenam ativos digitais que podem ser transferidos quase instantaneamente pelos criminosos, dificultando qualquer possibilidade de recuperação.

Além disso, o malware também busca informações em aproximadamente 14 gerenciadores de senhas, incluindo plataformas amplamente utilizadas como 1Password e Bitwarden.

Ao obter acesso a esses aplicativos, os criminosos podem comprometer dezenas ou até centenas de contas pertencentes à mesma vítima.

A coleta de dados também se estende aos navegadores baseados em Chromium e Firefox, ampliando ainda mais a quantidade de informações roubadas durante a infecção.

Antes do envio aos servidores de comando e controle (C2), os arquivos coletados são compactados e protegidos com AES-256-GCM, um algoritmo moderno de criptografia. A transmissão ocorre por meio da biblioteca libcurl, demonstrando um nível elevado de organização e desenvolvimento da ameaça.

Por que o CrashStealer preocupa especialistas

O que diferencia o CrashStealer de muitos malwares convencionais é a combinação de técnicas utilizadas durante toda a cadeia de ataque.

Em vez de depender exclusivamente da exploração de vulnerabilidades, a ameaça reúne engenharia social, persistência no sistema, validação local de credenciais, coleta seletiva de informações e mecanismos seguros de exfiltração dos dados roubados.

Outro ponto importante é que o malware foi desenvolvido em C++, linguagem frequentemente utilizada em ameaças de maior complexidade devido ao desempenho e ao controle oferecidos sobre os recursos do sistema operacional.

Essas características indicam que não se trata de uma campanha amadora, mas de uma operação desenvolvida para maximizar o roubo de informações financeiras e credenciais de alto valor.

Como reduzir o risco de infecção

Embora nenhuma plataforma seja totalmente imune a ataques, algumas medidas ajudam a reduzir significativamente os riscos.

Entre as principais recomendações estão:

  • Instalar aplicativos apenas de fontes confiáveis;
  • Manter o macOS sempre atualizado;
  • Desconfiar de solicitações inesperadas de senha administrativa;
  • Utilizar autenticação multifator sempre que possível;
  • Evitar softwares piratas ou distribuídos fora dos canais oficiais;
  • Monitorar processos e LaunchAgents desconhecidos;
  • Utilizar soluções de proteção compatíveis com o macOS.

Também é recomendável revisar regularmente as permissões concedidas aos aplicativos e manter cópias de segurança atualizadas dos dados mais importantes.

Conclusão e lições de segurança

O CrashStealer demonstra que os ataques direcionados ao macOS estão se tornando cada vez mais sofisticados. Ao combinar técnicas de engenharia social, persistência, validação de credenciais e roubo de dados altamente sensíveis, o malware consegue aumentar significativamente suas chances de sucesso sem depender da exploração de vulnerabilidades inéditas.

A descoberta da Jamf Threat Labs reforça que a segurança digital depende tanto das proteções implementadas pelo sistema operacional quanto do comportamento do usuário. Desconfiar de solicitações incomuns, instalar softwares apenas de fontes confiáveis e manter o sistema atualizado continuam sendo medidas essenciais para reduzir a exposição a esse tipo de ameaça.

À medida que computadores da Apple concentram cada vez mais informações financeiras, credenciais corporativas e carteiras de criptomoedas, campanhas como a do CrashStealer tendem a ganhar importância no cenário global da cibersegurança. A melhor defesa continua sendo a combinação de tecnologia, boas práticas e conscientização.

Compartilhe este artigo
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista em Android, Apple, Cibersegurança e diversos outros temas do universo tecnológico. Seu foco é trazer análises aprofundadas, notícias e guias práticos sobre segurança digital, mobilidade, sistemas operacionais e as últimas inovações que moldam o cenário da tecnologia.