CrashStealer macOS Malware Uses Notarized Dropper to Pass Gatekeeper Checks
Mis à jour :
Analyse de la menace : Le malware macOS “CrashStealer”
Points clés
- Nature : CrashStealer est un logiciel malveillant de vol d’informations (infostealer) écrit en C++ natif, conçu pour dérober des données sensibles sur macOS.
- Contournement de sécurité : Le malware utilise un « dropper » signé et notarié par Apple (ID développeur : Emil Grigorov), ce qui lui permet de passer outre les contrôles de sécurité Gatekeeper.
- Méthode de diffusion : Distribué via une image disque (
Werkbit.app) hébergée sur un domaine spécifique, l’accès au téléchargement est restreint par un code PIN de réunion. - Techniques avancées : Le malware intègre des mesures anti-analyse (obfuscation par « control-flow flattening », chaînes chiffrées et anti-débogage) et valide localement le mot de passe utilisateur pour déverrouiller le trousseau (keychain) macOS.
- Exfiltration : Les données récoltées sont chiffrées en AES-GCM avant d’être transmises à un serveur distant.
Vulnérabilités exploitées
- Aucune CVE spécifique n’est mentionnée ; le malware exploite le mécanisme de notarisation d’Apple pour obtenir une légitimité apparente, couplé à une ingénierie sociale incitant l’utilisateur à contourner manuellement les protections de sécurité lors du premier lancement (« clic droit » puis « ouvrir »).
Données ciblées
- Identifiants stockés dans les navigateurs (Chrome, Brave, Edge, Opera, etc.).
- Données issues d’environ 80 extensions de portefeuilles de cryptomonnaies.
- Informations stockées dans 14 gestionnaires de mots de passe (1Password, Bitwarden, LastPass, etc.).
- Contenu des dossiers Documents et Téléchargements.
- Données du trousseau (Keychain) système.
Recommandations
- Vigilance utilisateur : Ne jamais contourner les avertissements de sécurité de macOS (Gatekeeper) en forçant l’ouverture d’applications provenant de sources inconnues, même si elles semblent légitimes.
- Gestion des accès : Éviter de télécharger des logiciels sur des sites web imposant des accès restreints par PIN ou des processus d’installation inhabituels.
- Sécurité des données : Utiliser des solutions de sécurité tierces capables d’analyser les comportements suspects et les processus en arrière-plan (ex:
LaunchAgents). - Hygiène numérique : Maintenir le système macOS à jour et limiter l’installation d’applications non certifiées par le Mac App Store.
