New CrashStealer malware poses as Apple crash reporting tool

1 minute de lecture

Mis à jour :

CrashStealer : Une menace macOS sophistiquée sous couvert d’outil système

Le malware CrashStealer cible les utilisateurs de macOS en se faisant passer pour l’outil officiel de rapport d’erreurs d’Apple. En exploitant un installeur signé et notarié par Apple, il parvient à contourner les protections natives comme Gatekeeper, facilitant ainsi son exécution sur les systèmes cibles.

Points clés :

  • Dissimulation : Le logiciel utilise le nom CrashReporter.app, l’icône système et crée un LaunchAgent (com.apple.crashreporter.helper) pour paraître légitime.
  • Vecteur d’attaque : Diffusé via un site de téléchargement frauduleux (“Werkbit Setup”), l’accès au payload est restreint par un code PIN.
  • Persistance : Le malware re-signe son code pour modifier sa signature numérique (hash) tout en conservant ses fonctionnalités.
  • Exfiltration : Les données volées sont chiffrées avec AES-256-GCM et transmises à un serveur de commande et contrôle (C2) via libcurl.

Données ciblées :

  • Keychain : Accès aux secrets locaux via une fausse invite de mot de passe administrateur.
  • Identifiants : Mots de passe et cookies de navigateurs (Chromium, Firefox) et gestionnaires de mots de passe (1Password, Bitwarden, etc.).
  • Crypto-actifs : Plus de 80 extensions de portefeuilles de cryptomonnaies.
  • Fichiers : Extraction de documents et données utilisateur.

Vulnérabilités :

  • Aucune CVE spécifique n’est associée, le malware tire parti de la confiance accordée aux applications signées et notariées par Apple pour tromper les mécanismes de sécurité intégrés.

Recommandations :

  • Méfiance accrue : Ne jamais saisir de mot de passe administrateur dans des fenêtres contextuelles non sollicitées, même si elles semblent provenir du système.
  • Vigilance sur les sources : Télécharger uniquement des logiciels depuis des sources officielles ou le Mac App Store.
  • Surveillance réseau : Surveiller les connexions sortantes suspectes vers des serveurs C2 inconnus.
  • Analyse des indicateurs : Consulter le rapport de Jamf Labs pour identifier les hashes de fichiers et les artefacts spécifiques liés à cette campagne afin de configurer les solutions EDR/SIEM.

Source