CrashStealer macOS Malware Uses Notarized Dropper to Pass Gatekeeper Checks

1 minute de lecture

Mis à jour :

Analyse de la menace : Le malware macOS “CrashStealer”

Points clés

  • Nature : CrashStealer est un logiciel malveillant de vol d’informations (infostealer) écrit en C++ natif, conçu pour dérober des données sensibles sur macOS.
  • Contournement de sécurité : Le malware utilise un « dropper » signé et notarié par Apple (ID développeur : Emil Grigorov), ce qui lui permet de passer outre les contrôles de sécurité Gatekeeper.
  • Méthode de diffusion : Distribué via une image disque (Werkbit.app) hébergée sur un domaine spécifique, l’accès au téléchargement est restreint par un code PIN de réunion.
  • Techniques avancées : Le malware intègre des mesures anti-analyse (obfuscation par « control-flow flattening », chaînes chiffrées et anti-débogage) et valide localement le mot de passe utilisateur pour déverrouiller le trousseau (keychain) macOS.
  • Exfiltration : Les données récoltées sont chiffrées en AES-GCM avant d’être transmises à un serveur distant.

Vulnérabilités exploitées

  • Aucune CVE spécifique n’est mentionnée ; le malware exploite le mécanisme de notarisation d’Apple pour obtenir une légitimité apparente, couplé à une ingénierie sociale incitant l’utilisateur à contourner manuellement les protections de sécurité lors du premier lancement (« clic droit » puis « ouvrir »).

Données ciblées

  • Identifiants stockés dans les navigateurs (Chrome, Brave, Edge, Opera, etc.).
  • Données issues d’environ 80 extensions de portefeuilles de cryptomonnaies.
  • Informations stockées dans 14 gestionnaires de mots de passe (1Password, Bitwarden, LastPass, etc.).
  • Contenu des dossiers Documents et Téléchargements.
  • Données du trousseau (Keychain) système.

Recommandations

  • Vigilance utilisateur : Ne jamais contourner les avertissements de sécurité de macOS (Gatekeeper) en forçant l’ouverture d’applications provenant de sources inconnues, même si elles semblent légitimes.
  • Gestion des accès : Éviter de télécharger des logiciels sur des sites web imposant des accès restreints par PIN ou des processus d’installation inhabituels.
  • Sécurité des données : Utiliser des solutions de sécurité tierces capables d’analyser les comportements suspects et les processus en arrière-plan (ex: LaunchAgents).
  • Hygiène numérique : Maintenir le système macOS à jour et limiter l’installation d’applications non certifiées par le Mac App Store.

Source