Cybersecurity-onderzoekers hebben een nieuwe macOS-informatiedief gemarkeerd, genaamd CrashStealer dat in staat is gevoelige gegevens van gecompromitteerde systemen te verzamelen.
In tegenstelling tot andere informatiestelers die zijn gebouwd op AppleScript-droppers of op Objective-C gebaseerde wrappers, is CrashStealer volgens Jamf Threat Labs geïmplementeerd in native C++.
“Het valideert het inlogwachtwoord van het slachtoffer lokaal voordat het wordt geharvest, verzamelt het breed in browsers, cryptocurrency-portefeuilles, wachtwoordbeheerders en de sleutelhanger, codeert wat het verzamelt met AES-GCM voordat het via libcurl exfiltreert, en blijft bestaan door zichzelf te kopiëren en opnieuw te ondertekenen”, zei beveiligingsonderzoeker Thijs Xhaflaire in een rapport gedeeld met The Hacker News.
Er wordt gezegd dat CrashStealer wordt gedistribueerd door middel van een ondertekende en door Apple goedgekeurde dropper die wordt gedistribueerd als een schijfkopiebestand met de naam ‘Werkbit.app’. Omdat zowel de schijfimage als het binaire bestand notarieel zijn vastgelegd en een geldig ontwikkelaars-ID (“Emil Grigorov (WWB7JA7AQV)”) hebben, doorstaat het de Gatekeeper-controles.
De schijfkopie zelf is afkomstig van het domein “werkbit(.)io”, dat in juni 2026 werd geregistreerd. In een interessante wending wordt de download afgesloten achter een vergaderingspincode, wat betekent dat het installatieprogramma alleen wordt aangeboden aan sitebezoekers die met de juiste code aankomen, en niet aan iedereen.
De ontdekking van extra domeinen en gedeelde backend-infrastructuur die aan dezelfde operatie zijn gekoppeld, wijst erop dat CrashStealer deel uitmaakt van een grotere campagne met meerdere platforms.
Eenmaal aangekoppeld, presenteert de schijfkopie de gebruiker een installatie-instellingenscherm waarin wordt aangegeven dat hij met de rechtermuisknop op de app moet klikken en ‘Openen’ moet kiezen om hem te laten uitvoeren. Eenmaal gelanceerd, neemt het uitvoerbare bestand “veltod” contact op met een GitHub-repository (“github.com/mgothiclove”) om een bestand met de naam “sys.cache” op te halen.
Het bestand wordt vervolgens gebruikt om een curl-opdracht uit te pakken en een shellscript op te halen, dat fungeert als een downloader om de volgende payload (“CrashReporter.dmg”) op te halen en te stagen en deze op te slaan in de directory “/tmp”.
De malware vestigt bij uitvoering persistentie als een LaunchAgent, weerstaat analyse, presenteert een wachtwoordprompt en valideert de ingevoerde inloggegevens lokaal, ontgrendelt de login-sleutelhanger met behulp van het gevalideerde wachtwoord, geeft een overzicht van geïnstalleerde beveiligings- en analysetools, voordat wordt overgegaan tot het verzamelen van browsergegevens, cryptocurrency-portemonnee-extensies, wachtwoordbeheergegevens en sleutelhangermateriaal.
De volledige lijst met verzamelde gegevens vindt u hieronder:
- Inloggegevens van browsers uit de Chromium-familie, waaronder Google Chrome, Brave, Microsoft Edge, Opera en Opera GX, Vivaldi, Chromium en Naver Whale
- Ongeveer 80 cryptocurrency-portemonnee-extensies, waaronder MetaMask, Phantom, Coinbase, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare en Backpack
- 14 wachtwoordmanagers, waaronder 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass en RoboForm
- Bestand uit de mappen ~/Documents en ~/Downloads
De verzamelde gegevens worden vervolgens verpakt in een ZIP-archief en geëxfiltreerd naar een door de aanvaller bestuurde server (“179.43.166(.)242”).
“De leveringsketen van CrashStealer getuigt van echte zorg: in plaats van een kaal, niet-ondertekend aas, gaan de operators de aanval aan met een ondertekende en notariële dropper die Gatekeeper vrijgeeft voordat ze stilletjes de lading ophalen, opnieuw ondertekenen en lanceren”, zei Jamf.
“Wat het onderscheidt van de massa stealers is niet zozeer wat het verzamelt, maar wel de manier waarop het is gebouwd: AES-GCM-encryptie aan de clientzijde van de verzamelde bestanden, en de nadruk op analyseweerstand door het afvlakken van de controlestroom, gecodeerde strings en gelaagde anti-debugging.”