
Un nuovo malware per Mac cerca di ingannare gli utenti fingendosi un normale report di crash di macOS. Il suo nome è CrashStealer e, secondo i ricercatori di Jamf Threat Labs, è stato individuato per la prima volta a maggio mentre era ancora in sviluppo, per poi comparire in attacchi reali già a inizio luglio.
Il funzionamento è particolarmente insidioso perché sfrutta un comportamento familiare a chi usa un Mac: quando un’app si chiude in modo anomalo, macOS può mostrare una finestra per inviare un report diagnostico ad Apple. CrashStealer imita proprio quell’interfaccia, ma con un dettaglio pericoloso: chiede la password del Mac.
Jamf spiega che CrashStealer si presenta come un finto crash reporter e prova a convincere l’utente a inserire la password di sistema. Una volta ottenuta, il malware può accedere a una grande quantità di dati sensibili, tra cui credenziali salvate nei browser, informazioni del Portachiavi, password manager e wallet di criptovalute.
Il malware raccoglie i dati rubati, li cifra con AES-GCM e li invia a un server di comando e controllo. In pratica, non si limita a mostrare una finestra sospetta: è un vero infostealer progettato per svuotare tutto ciò che può avere valore sul Mac. (bleepingcomputer.com)
La distribuzione avviene tramite un’immagine disco chiamata “Werkbit Setup”, che contiene un’app chiamata Werkbit.app. Il dettaglio più preoccupante è che, almeno nella fase iniziale, il file risultava firmato con un Apple Developer ID valido e notarizzato, quindi poteva superare i controlli di Gatekeeper.
Apple avrebbe già revocato le credenziali usate dagli sviluppatori del malware, quindi Gatekeeper dovrebbe ora bloccare quel campione specifico. Questo però non elimina il rischio: nuove varianti potrebbero comparire con nomi, icone o tecniche diverse.
A cosa fare attenzione
Il consiglio principale è semplice: un report di crash non deve chiedere la password del Mac per “raccogliere dati”. Se compare una finestra simile, soprattutto dopo aver installato un’app scaricata da fonti poco chiare, meglio fermarsi subito.
Bisogna prestare attenzione anche a richieste improvvise del tipo “Impostazioni di Sistema vuole apportare modifiche” o prompt che sembrano di macOS ma arrivano in momenti strani. I malware più recenti puntano sempre meno sulla complessità tecnica e sempre più sull’inganno: finestre credibili, nomi familiari e messaggi che sembrano normali.
Se la password del Mac è stata inserita in una finestra sospetta, conviene agire subito. Cambiare la password dell’account utente, aggiornare macOS, eseguire una scansione con strumenti di sicurezza affidabili e controllare eventuali accessi anomali agli account più importanti.
Nel caso di wallet crypto, la priorità è spostare i fondi su un nuovo wallet sicuro, creato da un dispositivo pulito. Per password manager e account online, meglio cambiare prima le credenziali principali, attivare l’autenticazione a due fattori e verificare dispositivi collegati e sessioni attive.
Prova la nuova sezione commenti!