Malware CrashStealer para macOS ignora o Gatekeeper por meio de um dropper notarizado
Um novo malware para macOS chamado CrashStealer utiliza um dropper notarizado para ignorar a segurança do Gatekeeper da Apple. Ele rouba dados sensíveis após validar a senha de login do usuário.
TL;DR
- Novo malware para macOS, CrashStealer, coleta dados sensíveis do usuário.
- Ele usa um dropper em C++ notarizado para ignorar as proteções do Gatekeeper.
- O malware valida localmente as senhas de login antes de exfiltrar os dados.
- Equipes de segurança devem monitorar comportamentos incomuns em aplicativos notarizados.
- Jamf Threat Labs identificou e relatou a ameaça.
Pesquisadores de cibersegurança descobriram uma nova ameaça para macOS chamada CrashStealer, um malware que rouba informações e consegue burlar os mecanismos de segurança integrados da Apple. Ao contrário de muitas de suas versões anteriores, o CrashStealer é desenvolvido em C++ nativo e empacotado dentro de um dropper notarizado, permitindo que ele passe pelas proteções do Gatekeeper.
Quando executado, o malware solicita que as vítimas insiram suas credenciais de login, validando-as localmente. Caso bem-sucedido, o CrashStealer prossegue com a coleta de dados sensíveis do sistema infectado. Essa técnica demonstra uma tendência crescente em que atacantes abusam de processos legítimos da Apple para obter acesso não autorizado.
Visão Técnica
- O CrashStealer é escrito em C++ nativo, diferenciando-se dos malwares típicos para macOS baseados em AppleScript ou Objective-C.
- Ele usa um dropper notarizado para parecer legítimo e ignorar as verificações do Gatekeeper da Apple.
- O malware verifica localmente a senha inserida antes de prosseguir com o roubo de dados.
- Ele tem como alvo dados sensíveis do usuário, incluindo itens do chaveiro, credenciais de navegadores e informações do sistema.
Implicações para Equipes de Segurança
- As organizações devem auditar aplicativos notarizados em busca de comportamentos suspeitos ou atividades de rede inesperadas.
- Ferramentas de detecção e resposta em endpoints devem sinalizar tentativas de validação local de senhas feitas por binários não assinados ou incomuns.
- O treinamento de usuários deve enfatizar cautela ao inserir credenciais em prompts inesperados, mesmo que provenientes de aplicativos aparentemente confiáveis.
- Monitorar eventos de bypass do Gatekeeper e cadeias incomuns de execução de processos pode ajudar a detectar ameaças semelhantes precocemente.
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.