Un nouveau logiciel malveillant ciblant macOS attire l’attention des chercheurs en sécurité. Baptisé CrashStealer, cet infostealer (voleur de données) se présente comme un composant Apple lié aux rapports de plantage afin de soutirer des mots de passe, des données de navigateurs, des informations de trousseau et des identifiants associés à des portefeuilles de cryptomonnaies.

Une application notarizée comme point d’entrée

Selon Jamf Threat Labs, l’attaque commence avec Werkbit, une fausse application de réunion ou de collaboration distribuée via un site dédié. Ce premier programme disposait d’un identifiant développeur valide et avait été notarizé par Apple, ce qui lui permettait de passer Gatekeeper sans alerte classique liée à un développeur non identifié. Apple a depuis révoqué les certificats associés.

Une fois lancé, Werkbit téléchargeait des instructions depuis GitHub, puis récupérait et exécutait CrashStealer. Aucun scénario zéro-clic n’a été observé : la victime devait installer l’application, l’ouvrir et surtout saisir son mot de passe Mac dans une fausse fenêtre d’autorisation.

Un faux CrashReporter pour vider les données sensibles

CrashStealer utilise le nom CrashReporter, un identifiant proche de ceux d’Apple et une icône trompeuse pour paraître légitime. Le malware vérifie le mot de passe localement, puis s’en sert pour accéder au trousseau de connexion. Il cible ensuite les profils de navigateurs comme Chrome, Edge, Brave, Firefox ou Opera, ainsi que de nombreux gestionnaires de mots de passe et extensions de portefeuilles crypto.

Les données collectées sont ensuite chiffrées avant d’être regroupées dans des archives cachées. Le malware installe aussi un LaunchAgent afin de se relancer à chaque connexion. Diabolique !

Un rappel sur les limites de la notarisation

Cette campagne de malware rappelle qu’une application signée ou notarizée n’est pas automatiquement sûre. Toute demande de mot de passe inattendue après l’ouverture d’un logiciel inconnu doit alerter l’utilisateur, surtout lorsque cette demande réclame un accès complet au disque ou prétend installer un outil système déjà intégré à macOS. Prudence donc…