Si ves este aviso en tu Mac, no hagas clic: así es el nuevo engaño para robar contraseñas

En cualquier equipo, instalar aplicaciones de fuentes no reconocidas es un enorme riesgo para la seguridad. Uno de los que últimamente está llamando la atención es CrashStealer, un malware que se hace pasar por el propio CrashReporter de Apple para robar información muy sensible.

Detectado por Jamf Threat Labs, este software busca robar información como las contraseñas del llavero, datos de navegadores y extensiones de monederos de criptomonedas. Lo más sorprendente es que este malware apareció en una aplicación llamada Werkbit que llegó a conseguir estar notarizada por Apple y, con ello, saltarse la protección de Gatekeeper sin levantar sospechas.

Cómo actúa CrashStealer

CrashStealer imita de forma muy convincente el proceso de instalación de una app oficial de macOS, descargando un falso CrashReporter.app que parece legítimo. Al abrirlo, solicita acceso completo al disco “para administración del sistema” y muestra un cuadro de contraseña idéntico al de macOS. La contraseña introducida, sin embargo se utiliza para acceder al llavero y capturar datos como:

  • Información de navegadores y gestores de contraseñas.
  • Extensiones de monederos de criptomonedas (más de 80 compatibles).
  • Documentos y descargas que puedan resultar valiosos.

Todos estos datos se cifran con AES-256-GCM y se envían a un servidor controlado por los atacantes.

Cómo protegernos de este engaño

Para evitar este tipo de ataques, debemos recordar que el CrashReporter de Apple ya viene integrado en macOS y nunca requiere descarga independiente. Si encontramos un instalador que use ese nombre o que pida la contraseña nada más abrirse, deben encenderse todas las alarmas.

La mejor recomendación, sin embargo, es descargar aplicaciones solo de fuentes confiables. Aquí, el App Store nos ofrece la mejor garantía, pues Apple audita el contenido y comportamiento de las aplicaciones antes de admitirlas en la tienda.

En el caso de Werkbit, Apple ya ha revocado los certificados, por lo que este vector de ataque ha quedado anulado, pero CrashStealer podría volver con otros disfraces, por lo que fundamental que estemos atentos.

Author: David Bernal Raspall

{ "de-DE": "Architekt | Gründer von hanaringo.com | Trainer für Apple-Technologien | Autor bei Softonic und iDoo_tech, zuvor bei Applesfera", "en-US": "Architect | Founder of hanaringo.com | Apple Technologies Trainer | Writer at Softonic and iDoo_tech, formerly at Applesfera", "es-ES": "Arquitecto | Creador de hanaringo.com | Formador en tecnologías Apple | Redactor en Softonic y iDoo_tech y anteriormente en Applesfera", "fr-FR": "Architecte | Créateur de hanaringo.com | Formateur en technologies Apple | Rédacteur chez Softonic et iDoo_tech, précédemment chez Applesfera", "it-IT": "Architetto | Fondatore di hanaringo.com | Formatore in tecnologie Apple | Scrittore per Softonic e iDoo_tech, precedentemente su Applesfera", "ja-JP": "建築家 | hanaringo.comの創設者 | アップル技術のトレーナー | SoftonicおよびiDoo_techのライター、以前はApplesferaで", "nl-NL": "Architect | Oprichter van hanaringo.com | Trainer in Apple-technologieën | Schrijver bij Softonic en iDoo_tech, voorheen bij Applesfera", "pl-PL": "Architekt | Założyciel hanaringo.com | Trener technologii Apple | Pisarz w Softonic i iDoo_tech, wcześniej w Applesfera", "pt-BR": "Arquiteto | Fundador do hanaringo.com | Instrutor em tecnologias Apple | Escritor na Softonic e iDoo_tech, anteriormente na Applesfera", "social": { "email": "races_provost0x@icloud.com", "facebook": "", "twitter": "https://twitter.com/david_br8", "linkedin": "https://www.linkedin.com/in/davidbernalraspall/" } }