A Jamf Threat Labs, a equipa de investigação de ameaças da empresa de gestão de dispositivos Apple, revelou a 13 de julho de 2026 um novo programa malicioso (malware) para macOS a que deu o nome de CrashStealer. Segundo a investigação, o programa recolhe palavras-passe, ficheiros e carteiras de criptomoedas dos Mac que infeta, e chegou às vítimas depois de passar pela verificação de segurança da própria Apple.
O que torna o CrashStealer notável está menos no que rouba do que na forma como entra. Antes de deixar correr uma aplicação descarregada da internet, o macOS faz uma verificação automática, o Gatekeeper, que só abre sem avisos o software que a Apple já analisou e aprovou, um processo a que a empresa chama notarização. O CrashStealer chegou com esse selo.
O primeiro ficheiro que a vítima recebe é uma imagem de disco assinada e notarizada com o nome «Werkbit Setup», associada a uma identidade de programador válida, «Emil Grigorov (WWB7JA7AQV)». Por estar notarizada, passa o Gatekeeper sem qualquer alerta. Esse ficheiro é apenas o isco (dropper), que descarrega e lança o CrashStealer a partir da infraestrutura dos atacantes.
Um programa que se faz passar pela Apple
Segundo a Jamf, o CrashStealer está escrito em C++ nativo, ao contrário da maioria dos ladrões de dados para Mac, que assentam em scripts de AppleScript ou em invólucros em Objective-C. Uma vez no sistema, faz-se passar pela ferramenta de relatório de erros da Apple, instalando-se como um componente de arranque com o nome «com.apple.crashreporter.helper» e garantindo que corre sozinho sempre que o Mac liga. Antes de recolher seja o que for, valida localmente a palavra-passe de sessão da vítima, o que lhe abre os cofres protegidos do sistema.
O que procura no teu Mac
A lista de alvos é longa. Segundo a Jamf, o CrashStealer vasculha os principais navegadores, entre eles o Chrome, o Brave, o Edge, o Opera, o Vivaldi, o Safari e o Firefox, e vai atrás de cerca de 80 extensões de carteiras de criptomoedas, como a MetaMask, a Phantom, a Coinbase e a Trust Wallet. Recolhe ainda dados de 14 gestores de palavras-passe, entre eles o 1Password, o Bitwarden e o LastPass, as credenciais guardadas no porta-chaves (keychain) do macOS, e ficheiros das pastas Documentos e Transferências. Tudo o que apanha é cifrado com AES-256-GCM e enviado para um servidor controlado pelos atacantes através da biblioteca libcurl.
Distribuição dirigida e alerta à Apple
Há limites importantes ao ataque. A distribuição não foi em massa. O ficheiro «Werkbit Setup» era servido a partir do domínio werkbit[.]io, registado no fim de junho de 2026, e o acesso estava protegido por um código (PIN) de reunião, o que restringe o descarregamento a quem chega com o código certo. A operação foi, por isso, dirigida a alvos escolhidos, não espalhada ao acaso. Depois de confirmar que a identidade de programador tinha sido usada para distribuir software malicioso, a Jamf Threat Labs comunicou-a à Apple. Cabe agora à Apple decidir invalidar essas credenciais, o passo que travaria os ficheiros já conhecidos.
O episódio expõe a tensão de fundo de um modelo assente em confiança. A notarização reduz o risco de abrir software desconhecido, mas não garante que o programa é seguro, apenas que passou por uma análise automática. Para quem usa um Mac, mantém-se a cautela prática de desconfiar de instaladores recebidos por canais fechados ou fora da App Store, mesmo quando abrem sem avisos.
Fontes: Jamf Threat Labs, The Hacker News.
#StaySafe
🙏🖖