Se você é usuário de Mac, tome cuidado com os prompts do sistema que solicitam suas credenciais para enviar relatórios à Apple. Um novo malware – chamado CrashStealer – está se passando por uma ferramenta legítima de relatório de falhas enquanto rouba dados de chaves, arquivos locais e dados de navegadores, gerenciadores de senhas e carteiras criptografadas.
CrashStealer se faz passar pela Apple no macOS
Este infostealer do macOS, identificado pela empresa de segurança Jamf, parece um aplicativo legítimo. Ele é conhecido como “CrashReporter.app”, usa um ícone e metadados reconhecíveis e é entregue por um conta-gotas assinado e autenticado pela Apple. Os alvos podem baixar o instalador de um site de software falso que promove a plataforma de reuniões “Werkbit” e requer um PIN para acessar. A partir daí, a instalação segue um processo semelhante a qualquer outro aplicativo real, já que a campanha depende de engenharia social para enganar os alvos e fazê-los adicionar a carga diretamente em seus próprios dispositivos. Conforme descreve o BleepingComputer, sua configuração técnica permite evitar a detecção da ferramenta antimalware do macOS.
Você é fã da Apple ou está interessado nos anúncios de produtos da Apple? Lifehacker está hospedando um Big Guessing Game, uma competição gratuita que convida os leitores a fazer previsões sobre o que a Apple pode anunciar este ano. O jogo está atualmente em sua segunda rodada e você pode clicar aqui para entrar.
Quando o infostealer é executado, ele finge ser o repórter de falhas da Apple, exibindo um prompt que se parece exatamente com uma solicitação de autorização do macOS para fazer alterações nas preferências do sistema. Os usuários são solicitados a inserir sua senha para permitir essas alterações, e o malware valida a credencial localmente. Se a senha estiver errada, o prompt será executado novamente até que a credencial correta seja fornecida. Com a senha do sistema, os agentes de ameaças podem desbloquear as chaves do usuário e todos os dados criptografados contidos nela, como senhas de wifi e de aplicativos, certificados e tokens. O CrashStealer também parece direcionar outros dados nos dispositivos dos usuários, incluindo:
-
Arquivos das pastas Documentos e Downloads.
-
Credenciais e cookies de navegadores baseados em Firefox e Chromium.
-
14 gerenciadores de senhas, incluindo aplicativos populares como 1Password, Bitwarden, LastPass, Dashlane, NordPass e Keeper.
-
80 extensões de carteira de criptomoeda.
O malware é capaz de criptografar os dados roubados, colocá-los em um arquivo ZIP oculto e carregá-los nos servidores dos invasores.
O que você acha até agora?
Como proteger seu Mac do CrashStealer
Não está claro exatamente como os agentes de ameaças têm como alvo a distribuição desse malware específico, mas tenha cuidado ao baixar e instalar aplicativos em seu dispositivo, pois os invasores são capazes de executar campanhas altamente sofisticadas que levantam poucos sinais de alerta. Se você não tiver 100% de certeza sobre a origem ou legitimidade de um aplicativo ou software, não o instale. Se você está preocupado com malware em execução no seu dispositivo, use meu guia para detectá-lo e removê-lo.
Você também deve estar atento aos processos do sistema que exigem que você insira suas credenciais para serem executados – uma ação que muitos de nós realizamos frequentemente sem pensar. Especificamente para o CrashStealer, saiba que os relatórios de falhas e diagnósticos enviados à Apple não exigem senha. Você pode ser questionado se deseja fornecer essas informações, mas não precisará autenticá-las de forma alguma.