En cualquier equipo, instalar aplicaciones de fuentes no reconocidas es un enorme riesgo para la seguridad. Uno de los que últimamente está llamando la atención es CrashStealer, un malware que se hace pasar por el propio CrashReporter de Apple para robar información muy sensible.
Detectado por Jamf Threat Labs, este software busca robar información como las contraseñas del llavero, datos de navegadores y extensiones de monederos de criptomonedas. Lo más sorprendente es que este malware apareció en una aplicación llamada Werkbit que llegó a conseguir estar notarizada por Apple y, con ello, saltarse la protección de Gatekeeper sin levantar sospechas.
Cómo actúa CrashStealer
CrashStealer imita de forma muy convincente el proceso de instalación de una app oficial de macOS, descargando un falso CrashReporter.app que parece legítimo. Al abrirlo, solicita acceso completo al disco “para administración del sistema” y muestra un cuadro de contraseña idéntico al de macOS. La contraseña introducida, sin embargo se utiliza para acceder al llavero y capturar datos como:
- Información de navegadores y gestores de contraseñas.
- Extensiones de monederos de criptomonedas (más de 80 compatibles).
- Documentos y descargas que puedan resultar valiosos.
Todos estos datos se cifran con AES-256-GCM y se envían a un servidor controlado por los atacantes.
Cómo protegernos de este engaño
Para evitar este tipo de ataques, debemos recordar que el CrashReporter de Apple ya viene integrado en macOS y nunca requiere descarga independiente. Si encontramos un instalador que use ese nombre o que pida la contraseña nada más abrirse, deben encenderse todas las alarmas.
La mejor recomendación, sin embargo, es descargar aplicaciones solo de fuentes confiables. Aquí, el App Store nos ofrece la mejor garantía, pues Apple audita el contenido y comportamiento de las aplicaciones antes de admitirlas en la tienda.
En el caso de Werkbit, Apple ya ha revocado los certificados, por lo que este vector de ataque ha quedado anulado, pero CrashStealer podría volver con otros disfraces, por lo que fundamental que estemos atentos.