Attenzione ai falsi report di crash su Mac: possono rubare password e wallet crypto

Un nuovo malware per macOS può essere davvero pericoloso.

Nuovo sistema di commenti
iPhoneItalia ha un sistema di commenti realtime tutto nuovo e nativo! Per commentare ti basta creare un account e potrai subito commentare.
Prova la nuova sezione commenti!

Un nuovo malware per Mac cerca di ingannare gli utenti fingendosi un normale report di crash di macOS. Il suo nome è CrashStealer e, secondo i ricercatori di Jamf Threat Labs, è stato individuato per la prima volta a maggio mentre era ancora in sviluppo, per poi comparire in attacchi reali già a inizio luglio.

Il funzionamento è particolarmente insidioso perché sfrutta un comportamento familiare a chi usa un Mac: quando un’app si chiude in modo anomalo, macOS può mostrare una finestra per inviare un report diagnostico ad Apple. CrashStealer imita proprio quell’interfaccia, ma con un dettaglio pericoloso: chiede la password del Mac.

Jamf spiega che CrashStealer si presenta come un finto crash reporter e prova a convincere l’utente a inserire la password di sistema. Una volta ottenuta, il malware può accedere a una grande quantità di dati sensibili, tra cui credenziali salvate nei browser, informazioni del Portachiavi, password manager e wallet di criptovalute.

Il malware raccoglie i dati rubati, li cifra con AES-GCM e li invia a un server di comando e controllo. In pratica, non si limita a mostrare una finestra sospetta: è un vero infostealer progettato per svuotare tutto ciò che può avere valore sul Mac. (bleepingcomputer.com)

La distribuzione avviene tramite un’immagine disco chiamata “Werkbit Setup”, che contiene un’app chiamata Werkbit.app. Il dettaglio più preoccupante è che, almeno nella fase iniziale, il file risultava firmato con un Apple Developer ID valido e notarizzato, quindi poteva superare i controlli di Gatekeeper.

Apple avrebbe già revocato le credenziali usate dagli sviluppatori del malware, quindi Gatekeeper dovrebbe ora bloccare quel campione specifico. Questo però non elimina il rischio: nuove varianti potrebbero comparire con nomi, icone o tecniche diverse.

A cosa fare attenzione

Il consiglio principale è semplice: un report di crash non deve chiedere la password del Mac per “raccogliere dati”. Se compare una finestra simile, soprattutto dopo aver installato un’app scaricata da fonti poco chiare, meglio fermarsi subito.

Bisogna prestare attenzione anche a richieste improvvise del tipo “Impostazioni di Sistema vuole apportare modifiche” o prompt che sembrano di macOS ma arrivano in momenti strani. I malware più recenti puntano sempre meno sulla complessità tecnica e sempre più sull’inganno: finestre credibili, nomi familiari e messaggi che sembrano normali.

Se la password del Mac è stata inserita in una finestra sospetta, conviene agire subito. Cambiare la password dell’account utente, aggiornare macOS, eseguire una scansione con strumenti di sicurezza affidabili e controllare eventuali accessi anomali agli account più importanti.

Nel caso di wallet crypto, la priorità è spostare i fondi su un nuovo wallet sicuro, creato da un dispositivo pulito. Per password manager e account online, meglio cambiare prima le credenziali principali, attivare l’autenticazione a due fattori e verificare dispositivi collegati e sessioni attive.

Prodotti consigliati

In qualità di Affiliato Amazon, iPhoneItalia riceve un guadagno dagli acquisti idonei.
Offerte Amazon di oggi