Gli utenti Mac devono fare attenzione a CrashStealer, un malware macOS che imita il crash reporting framework di Apple per rubare informazioni riservate. L’obiettivo è acquisire dati che spaziano dalla navigazione fino alle credenziali memorizzate e alle estensioni di portafogli di criptovalute.
Come funziona CrashStealer
Il malware è stato osservato mentre circolava tramite una falsa app notarizzata chiamata Werkbit. La notarizzazione consente all’app di superare Gatekeeper, parte del sistema di sicurezza di macOS, riducendo le probabilità che l’utente la blocchi prima dell’esecuzione.
CrashStealer scarica e usa una finta CrashReporter.app (denominazione pensata per richiamare il componente Apple), con un’interfaccia e un flusso di installazione che seguono una procedura tipica per software scaricati dal web. In pratica, l’utente potrebbe percepire l’app come un’utilità legittima.
Dati presi di mira: browser, password manager, wallet e keychain
Il malware punta a più categorie di informazioni:
- Dati del browser
- Dati dei password manager
- Estensioni di wallet di criptovalute
- Dati della keychain
Tra le estensioni wallet prese di mira figurano oltre 80 componenti. Per i password manager, l’attacco include 14 soluzioni, tra cui 1Password, LastPass e Dashlane.
CrashStealer cerca inoltre informazioni utili nelle cartelle Documenti e Download.
Richiesta di accesso e furto delle credenziali
Al momento dell’esecuzione, l’app richiede full disk access motivandolo come necessario per “system administration”. In parallelo, utilizza una richiesta nativa di password che appare come una normale autorizzazione di macOS.
La password inserita viene impiegata per accedere al login keychain. I dati raccolti vengono poi cifrati con AES–256-GCM tramite CommonCrypto e inviati all’indirizzo IP dell’attaccante.
Perché l’attacco è difficile da intercettare
Jamf ha evidenziato che l’implementazione del malware mostra un’attenzione particolare, soprattutto nelle fasi di occultamento rispetto ai classici infostealer. Il malware è stato segnalato ad Apple dopo una prima individuazione a maggio e una presenza attiva rilevata a luglio.
Stato attuale: revoca della firma dell’app Werkbit
Apple ha revocato le credenziali di firma dell’app Werkbit, disabilitando il vettore di attacco descritto. Tuttavia, resta la possibilità che varianti del malware possano riapparire.
La versione iniziale risultava inoltre protetta da un PIN richiesto per l’installazione, suggerendo un targeting più mirato.
Consigli pratici per gli utenti
Per ridurre il rischio, è utile ricordare che il crash reporter di Apple è già integrato in macOS. In generale, sono segnali d’allarme:
- download che fanno riferimento a CrashReporter
- app che richiedono una password di sistema subito all’avvio
In presenza di questi elementi, è consigliabile fermarsi e verificare con attenzione la provenienza del software prima di procedere.

