CrashStealer, un infostealer macOS scritto in C++ nativo, è stato distribuito attraverso un dropper firmato e notarizzato da Apple, superando i controlli Gatekeeper senza alcun avviso per l'utente. L'analisi di Jamf Threat Labs, pubblicata il 13 luglio 2026, documenta una campagna iniziata almeno a maggio e rilevata su endpoint aziendali a inizio luglio. Il caso dimostra che la firma digitale Apple e la notarizzazione non costituiscono garanzia di innocuità del software.
- Il dropper Werkbit.app, con Developer ID "Emil Grigorov (WWB7JA7AQV)", era firmato e notarizzato da Apple: Gatekeeper lo ha lasciato passare senza warning.
- CrashStealer impersona l'utility Apple CrashReporter, valida la password locale tramite il comando dscl legittimo, poi sblocca il keychain e ruba dati da circa 80 wallet crypto e 14 password manager.
- I dati raccolti sono cifrati con AES-256-GCM ed esfiltrati verso il server C2 179.43.166[.]242 tramite libcurl.
- La campagna è cross-platform: domini lookalike di app da meeting e collaborazione puntano a un backend condiviso, con installer anche per Windows.
Come funziona la catena di consegna multi-stadio
Il malware non arriva direttamente. L'utente scarica un'immagine disco dal dominio werkbit[.]io, registrato a giugno 2026, protetta da un PIN meeting. Il binario all'interno, Werkbit.app, contatta il repository GitHub mgothiclove/pkeys per recuperare un file nascosto di istruzioni, denominato sys.cache. Da lì si attiva la fase successiva: download del payload vero e proprio, che viene copiato, re-signato con firma ad hoc per mutare l'hash e quindi lanciato.
Il payload assume l'identità di CrashReporter.app, con bundle identifier com.apple.crashreporter e icona che imita lo stile Apple. Questa scelta non è estetica: l'utente che vede un processo con nome e icona familiari è meno propenso a intervenire. Il malware richiede quindi la password di sistema, apparentemente per un controllo di sicurezza, ma in realtà per sbloccare il login keychain e accedere al database delle credenziali.
Il cuore tecnico: C++ nativo e anti-analisi avanzata
Secondo Jamf Threat Labs, CrashStealer si distingue dai commodity stealer tipici del panorama macOS, solitamente costruiti su AppleScript o Objective-C. L'implementazione in C++ nativo indica una cura dello sviluppo superiore alla media, con tecniche di resistenza all'analisi che includono control-flow flattening, stringhe cifrate e controlli multipli per rilevare debugger. Questi accorgimenti rendono più difficoltosa sia l'analisi statica che quella dinamica per i ricercatori.
La raccolta dati è ampia e mirata: circa 80 estensioni di wallet cryptocurrency, tra cui MetaMask, Phantom, Coinbase, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare e Backpack; 14 password manager, tra cui 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass e RoboForm; credenziali e cookie dai browser della famiglia Chromium; file dalla cartella Documents e Downloads. I dati vengono cifrati con AES-256-GCM prima dell'esfiltrazione, rendendo più complessa l'intercettazione in transito.
La persistenza e la firma che muta
CrashStealer si installa come LaunchAgent in ~/Library/LaunchAgents/com.apple.crashreporter.helper.plist, con configurazione che forza il riavvio dopo un'uscita non riuscita. Per eludere i controlli basati sull'hash, il malware rimuove gli extended attributes del file e applica una nuova firma ad hoc, alterando la propria impronta digitale a ogni reinstallazione. Questa tecnica di re-signing è particolarmente efficace contro le soluzioni di detection che si affidano esclusivamente alla reputazione del certificato.
"CrashStealer's delivery chain shows real care: rather than a bare, unsigned lure, the operators front the attack with a signed and notarized dropper that clears Gatekeeper before quietly fetching, re-signing and launching the payload" — Jamf Threat Labs
Il meccanismo di consegna, come documentato dalle fonti, mostra un'attenzione deliberata alla qualità del front-end dell'attacco: la notarizzazione Apple funziona da scudo visivo per l'utente e da bypass tecnico per il sistema operativo.
La campagna cross-platform e il backend condiviso
L'analisi ha identificato una rete di domini lookalike che impersonano applicazioni da meeting e collaborazione aziendale: Cohezo, Cordinex, Synerix, Collabox, Werknova. Questi domini condividono un backend comune all'indirizzo icky-lyrical[.]com. Accanto alla versione macOS, i ricercatori hanno trovato un installer Windows, confermando che la campagna non è circoscritta all'ecosistema Apple. Il targeting appare orientato al mondo professionale, con l'uso di PIN meeting come meccanismo di gatekeeping per filtrare le vittime.
Il pannello di comando ospitato su endpoint-api-v1[.]com è stato rilevato, ma la sua entità completa non è documentata nelle fonti disponibili. Non emergono sovrapposizioni infrastrutturali che colleghino gli operatori a un attore di minaccia noto allo stato attuale.
Cosa fare adesso
Apple ha revocato le credenziali di firma associate all'applicazione malevola dopo la segnalazione di Jamf. Per gli utenti e gli amministratori di sistema, le azioni prioritarie derivano direttamente dal dossier tecnico:
- Verificare la presenza del LaunchAgent com.apple.crashreporter.helper.plist in ~/Library/LaunchAgents: un file con quel nome che non corrisponda al percorso di sistema ufficiale è indicatore di compromissione.
- Controllare connessioni verso l'IP 179.43.166[.]242 o il dominio endpoint-api-v1[.]com nei log di rete: la fonte documenta questi come indicatori di esfiltrazione attiva nelle build analizzate.
- Ispezionare repository clonati o file scaricati da GitHub sotto il nome utente mgothiclove, in particolare il repository pkeys e il file sys.cache, come confermato dalla catena di consegna documentata.
- Monitorare processi denominati CrashReporter.app che non risiedano in /System/Library/CoreServices o percorsi ufficiali Apple, data l'identità sottratta documentata dal malware.
Il dossier non specifica misure correttive aggiuntive né raccomandazioni di hardening da parte del vendor. La natura esatta dei dati esposti oltre le categorie elencate resta non dettagliata nelle fonti.
Perché la notarizzazione Apple non basta più
Il caso CrashStealer solleva una questione strutturale per la sicurezza su macOS. Gatekeeper è progettato per bloccare software da sviluppatori non identificati; la notarizzazione aggiunge un controllo automatizzato di Apple sul binario. Ma entrambi i meccanismi si fidano del certificato come proxy di affidabilità, non del comportamento del software. Un attore che ottiene un Developer ID valido — attraverso acquisto, compromissione o ingegneria sociale — eredita quella fiducia fino alla revoca, che avviene reattivamente, non preventivamente.
Secondo Jamf Threat Labs, come citato da AppleInsider, "Werkbit carried a valid Developer ID associated with Emil Grigorov and passed Gatekeeper without an unidentified-developer warning". La stessa fonte aggiunge: "The Werkbit delivery chain also shows that a valid signature, Apple notarization and a clean Gatekeeper check aren't guarantees that software is safe". La distanza tra questa constatazione e l'esperienza d'uso tipica dell'utente Mac — che associa la finestra di dialogo Apple alla bontà del software — misura il rischio residuo.
La campagna cross-platform, con il suo backend condiviso e la distribuzione filtrata per PIN, indica inoltre che gli operatori investono in infrastruttura duratura, non in attacchi opportunistici e usa-e-getta. Il fatto che Jamf abbia trovato il primo campione su VirusTotal a inizio maggio e le prime detection su clienti a inizio luglio suggerisce un periodo di incubazione o di test prima della distribuzione a tappeto.
Il malware si rivolge a un profilo di vittima specifico: chi detiene asset in wallet cryptocurrency e gestisce credenziali attraverso password manager, tipicamente un utente tecnologicamente attento ma che può abbassare la guardia di fronte a un binario "approvato" da Apple. La lezione è che il certificato valida l'origine, non l'intenzione.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/07/crashstealer-macos-malware-uses.html
- https://research.checkpoint.com/2026/13th-july-threat-intelligence-report/
- https://appleinsider.com/articles/26/07/13/crashstealer-malware-poses-as-an-apple-tool-to-steal-passwords-mac-data
- https://www.mactech.com/2026/07/13/jamf-threat-labs-releases-analysis-of-macos-info-stealer-dubbed-crashstealer/
- https://therecord.media/latvia-state-owned-foresty-company-lvm-ransomware
- https://thehackernews.com/2026/07/injective-labs-github-compromise-pushes.html
- https://blog.talosintelligence.com/uat-7810/
- https://techcrunch.com/2026/07/08/another-massive-data-breach-exposed-millions-of-drivers-license-numbers/