← Voltar ao blog

Malware CrashStealer para macOS ignora o Gatekeeper por meio de um dropper notarizado

Um novo malware para macOS chamado CrashStealer utiliza um dropper notarizado para ignorar a segurança do Gatekeeper da Apple. Ele rouba dados sensíveis após validar a senha de login do usuário.

TL;DR

  • Novo malware para macOS, CrashStealer, coleta dados sensíveis do usuário.
  • Ele usa um dropper em C++ notarizado para ignorar as proteções do Gatekeeper.
  • O malware valida localmente as senhas de login antes de exfiltrar os dados.
  • Equipes de segurança devem monitorar comportamentos incomuns em aplicativos notarizados.
  • Jamf Threat Labs identificou e relatou a ameaça.

Pesquisadores de cibersegurança descobriram uma nova ameaça para macOS chamada CrashStealer, um malware que rouba informações e consegue burlar os mecanismos de segurança integrados da Apple. Ao contrário de muitas de suas versões anteriores, o CrashStealer é desenvolvido em C++ nativo e empacotado dentro de um dropper notarizado, permitindo que ele passe pelas proteções do Gatekeeper.

Quando executado, o malware solicita que as vítimas insiram suas credenciais de login, validando-as localmente. Caso bem-sucedido, o CrashStealer prossegue com a coleta de dados sensíveis do sistema infectado. Essa técnica demonstra uma tendência crescente em que atacantes abusam de processos legítimos da Apple para obter acesso não autorizado.

Visão Técnica

  • O CrashStealer é escrito em C++ nativo, diferenciando-se dos malwares típicos para macOS baseados em AppleScript ou Objective-C.
  • Ele usa um dropper notarizado para parecer legítimo e ignorar as verificações do Gatekeeper da Apple.
  • O malware verifica localmente a senha inserida antes de prosseguir com o roubo de dados.
  • Ele tem como alvo dados sensíveis do usuário, incluindo itens do chaveiro, credenciais de navegadores e informações do sistema.

Implicações para Equipes de Segurança

  • As organizações devem auditar aplicativos notarizados em busca de comportamentos suspeitos ou atividades de rede inesperadas.
  • Ferramentas de detecção e resposta em endpoints devem sinalizar tentativas de validação local de senhas feitas por binários não assinados ou incomuns.
  • O treinamento de usuários deve enfatizar cautela ao inserir credenciais em prompts inesperados, mesmo que provenientes de aplicativos aparentemente confiáveis.
  • Monitorar eventos de bypass do Gatekeeper e cadeias incomuns de execução de processos pode ajudar a detectar ameaças semelhantes precocemente.

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

Malware CrashStealer para macOS ignora o Gatekeeper por meio de um dropper notarizado — Agent Breach Blog | Agent Breach