Lisboa · quarta-feira, 15 jul 2026 Edição NB · Nº 080
← Voltar às notícias
Cibersegurança · macOS NB-L080

Malware para Mac passa a verificação de segurança da Apple e rouba palavras-passe e carteiras cripto

Um ladrão de dados para macOS, o CrashStealer, chegou às vítimas com o selo de notarização da Apple e passou o Gatekeeper sem alertas. A Jamf Threat Labs explica como funciona e o que rouba.

Malware para Mac passa a verificação de segurança da Apple e rouba palavras-passe e carteiras cripto
FIG. NB-L080 · Cibersegurança · macOS

A Jamf Threat Labs, a equipa de investigação de ameaças da empresa de gestão de dispositivos Apple, revelou a 13 de julho de 2026 um novo programa malicioso (malware) para macOS a que deu o nome de CrashStealer. Segundo a investigação, o programa recolhe palavras-passe, ficheiros e carteiras de criptomoedas dos Mac que infeta, e chegou às vítimas depois de passar pela verificação de segurança da própria Apple.

O que torna o CrashStealer notável está menos no que rouba do que na forma como entra. Antes de deixar correr uma aplicação descarregada da internet, o macOS faz uma verificação automática, o Gatekeeper, que só abre sem avisos o software que a Apple já analisou e aprovou, um processo a que a empresa chama notarização. O CrashStealer chegou com esse selo.

O primeiro ficheiro que a vítima recebe é uma imagem de disco assinada e notarizada com o nome «Werkbit Setup», associada a uma identidade de programador válida, «Emil Grigorov (WWB7JA7AQV)». Por estar notarizada, passa o Gatekeeper sem qualquer alerta. Esse ficheiro é apenas o isco (dropper), que descarrega e lança o CrashStealer a partir da infraestrutura dos atacantes.

Um programa que se faz passar pela Apple

Segundo a Jamf, o CrashStealer está escrito em C++ nativo, ao contrário da maioria dos ladrões de dados para Mac, que assentam em scripts de AppleScript ou em invólucros em Objective-C. Uma vez no sistema, faz-se passar pela ferramenta de relatório de erros da Apple, instalando-se como um componente de arranque com o nome «com.apple.crashreporter.helper» e garantindo que corre sozinho sempre que o Mac liga. Antes de recolher seja o que for, valida localmente a palavra-passe de sessão da vítima, o que lhe abre os cofres protegidos do sistema.

O que procura no teu Mac

A lista de alvos é longa. Segundo a Jamf, o CrashStealer vasculha os principais navegadores, entre eles o Chrome, o Brave, o Edge, o Opera, o Vivaldi, o Safari e o Firefox, e vai atrás de cerca de 80 extensões de carteiras de criptomoedas, como a MetaMask, a Phantom, a Coinbase e a Trust Wallet. Recolhe ainda dados de 14 gestores de palavras-passe, entre eles o 1Password, o Bitwarden e o LastPass, as credenciais guardadas no porta-chaves (keychain) do macOS, e ficheiros das pastas Documentos e Transferências. Tudo o que apanha é cifrado com AES-256-GCM e enviado para um servidor controlado pelos atacantes através da biblioteca libcurl.

Distribuição dirigida e alerta à Apple

Há limites importantes ao ataque. A distribuição não foi em massa. O ficheiro «Werkbit Setup» era servido a partir do domínio werkbit[.]io, registado no fim de junho de 2026, e o acesso estava protegido por um código (PIN) de reunião, o que restringe o descarregamento a quem chega com o código certo. A operação foi, por isso, dirigida a alvos escolhidos, não espalhada ao acaso. Depois de confirmar que a identidade de programador tinha sido usada para distribuir software malicioso, a Jamf Threat Labs comunicou-a à Apple. Cabe agora à Apple decidir invalidar essas credenciais, o passo que travaria os ficheiros já conhecidos.

O episódio expõe a tensão de fundo de um modelo assente em confiança. A notarização reduz o risco de abrir software desconhecido, mas não garante que o programa é seguro, apenas que passou por uma análise automática. Para quem usa um Mac, mantém-se a cautela prática de desconfiar de instaladores recebidos por canais fechados ou fora da App Store, mesmo quando abrem sem avisos.

Fontes: Jamf Threat Labs, The Hacker News.

#StaySafe
🙏🖖

Continua a ler

Mais histórias

Ver todas →
Não se esconde da IA que o analisa: convence-a a fechar o caso
Cibersegurança · IA

Não se esconde da IA que o analisa: convence-a a fechar o caso

A SentinelLabs encontrou um vírus para Mac que esconde 38 mensagens falsas no próprio código para convencer a inteligênc...

4 MIN · 26 jun 2026 · NB-L056
Recuperaram 27 milhões de palavras-passe roubadas: a polícia atacou a fábrica do cibercrime, não os clientes
Cibersegurança · Infostealer

Recuperaram 27 milhões de palavras-passe roubadas: a polícia atacou a fábrica do cibercrime, não os clientes

A Operação Endgame recuperou 27 milhões de palavras-passe roubadas e desligou 326 servidores. O alvo não foi um gang de...

4 MIN · 24 jun 2026 · NB-L054
Disfarça-se do antivírus do telemóvel para te roubar o banco, os códigos SMS e a cripto
Cibersegurança · Android

Disfarça-se do antivírus do telemóvel para te roubar o banco, os códigos SMS e a cripto

Um novo trojan para Android, o Rokarolla, tem como alvo 217 apps de bancos e de cripto e dá ao atacante o controlo quase...

4 MIN · 18 jun 2026 · NB-L042
Semanal · Sem spam

O Boletim

Um resumo semanal das notícias de cibersegurança, IA e tecnologia que interessam — escrito para se ler em cinco minutos.

Cancela com um clique, em qualquer semana.
BRI assistente

Quer saber sobre um projeto, um serviço ou uma notícia recente? Pergunte. Conheço todo o conteúdo deste site.