Nei primi giorni di luglio i Threat Labs di Jamf hanno iniziato a rilevare in attacchi reali un infostealer per macOS che tenevano d'occhio da maggio, da quando il campione era comparso su VirusTotal e sembrava ancora in fase di sviluppo. Lo hanno chiamato CrashStealer, e si differenzia dalla massa degli infostealer commodity per il modo in cui arriva sul Mac: tramite un installer regolarmente firmato e notarizzato da Apple, che supera Gatekeeper senza il minimo avviso. Il primo stadio si presenta come Werkbit Setup, un'immagine disco che finge di installare un'app per meeting e collaborazione. L'eseguibile, chiamato veltod, porta un Developer ID valido intestato a Emil Grigorov e un ticket di notarizzazione allegato; perfino il DMG � firmato, passaggio raro nella distribuzione malevola, dove il contenitore di solito resta senza firma. Il download � ospitato su werkbit.io, dominio registrato a fine giugno 2026, ed � protetto da un PIN di meeting: l'installer viene servito solo a chi arriva con il codice giusto, non al visitatore qualsiasi n� agli scanner automatici. Aperto il pacchetto, veltod contatta un repository GitHub (mgothiclove/pkeys) e ne recupera un file di configurazione con il comando curl da eseguire. Da l� scarica uno script offuscato da endpoint-api-v1.com, che a sua volta preleva il payload vero e proprio, CrashReporter.dmg, lo salva in /tmp, lo rimonta in una cartella nascosta, ne rimuove la firma originale e lo ri-firma ad-hoc prima di lanciarlo. Appoggiare il primo salto su un dominio affidabile per sviluppatori come GitHub serve a mantenere poco vistosa l'attivit� di rete iniziale. Un finto CrashReporter che chiede la password Il payload si traveste da componente di sistema Apple: bundle identifier com.apple.crashreporter, l'icona e il nome del CrashReporter di macOS. A differenza del dropper notarizzato, per�, porta solo una firma ad-hoc, e viene eseguito da una directory nascosta sotto /private/tmp. Poich� gli strumenti di crash reporting sono gi� inclusi in macOS, un CrashReporter.dmg scaricato dall'esterno � di per s� un segnale sospetto. All'avvio il malware mostra un prompt password in stile macOS, presentandolo come un'autorizzazione di sistema legittima. La credenziale digitata viene validata in locale con dscl, il comando Directory Service di Apple: se � errata il prompt si ripresenta, se � corretta sblocca il login keychain, il vault cifrato che custodisce login di Safari, password Wi-Fi, chiavi private e certificati. L'accesso completo al disco viene richiesto con una motivazione, mostrata nei testi dei permessi, che lo presenta come necessario "per l'amministrazione di sistema": una formulazione costruita per far apparire ordinaria una pretesa tutt'altro che innocua. Da l� la raccolta si allarga. Jamf ha trovato codice che punta ai browser della famiglia Chromium e a Firefox (profili, cookie, credenziali salvate, dati delle estensioni), a circa 80 estensioni di wallet di criptovalute come MetaMask, Phantom, Coinbase, Trust Wallet, Rabby, Exodus e Solflare, e a 14 password manager, da 1Password a Bitwarden, LastPass, Dashlane, Keeper, KeePassXC e NordPass. Un componente separato setaccia Documenti e Download in cerca di materiale di valore, saltando di proposito file multimediali, installer e cartelle di sistema per contenere la dimensione dell'archivio. Cifratura del bottino e ritorno a ogni login Prima dell'esfiltrazione CrashStealer cifra i file raccolti in AES-256-GCM, li impacchetta in archivi ZIP nascosti e li carica sul server di comando e controllo (C2) tramite libcurl. � una scelta insolita per operazioni di questo tipo e, insieme all'implementazione in C++ nativo, � ci� che secondo Jamf lo separa da famiglie con obiettivi analoghi come Atomic (AMOS), MacSync e Phexia. Nelle build pi� datate l'indirizzo del C2 (179.43.166.242) era scritto in chiaro nell'Info.plist tramite un'eccezione App Transport Security; nei campioni pi� recenti l'eccezione � sparita, coerente con un progetto che matura dallo sviluppo verso la produzione. La persistenza � l'immancabile passo finale: il malware copia s� stesso sotto ~/Library/Caches, si ri-firma e installa un LaunchAgent (com.apple.crashreporter.helper) che lo riavvia a ogni login. La ri-firma riscrive i dati della firma nel binario, cambiando l'hash del file pur lasciando intatto il codice, un dettaglio che manda a vuoto i rilevamenti basati su un singolo hash noto. Dopo la segnalazione del Team ID da parte di Jamf, Apple ha poi revocato le credenziali di firma associate all'app malevola. I domini sosia per app di meeting individuati dai ricercatori, insieme a un installer Windows trovato accanto alla versione Mac, indicano che CrashStealer � un tassello di una campagna multipiattaforma pi� ampia. Il caso conferma che firma valida, notarizzazione e un via libera pulito di Gatekeeper non garantiscono che un software sia sicuro. Un CrashReporter scaricato dall'esterno va trattato come sospetto, dato che le utility di crash reporting sono gi� incluse in macOS, e un download inatteso per meeting va verificato con chi lo ha inviato. Chi ha lanciato l'app e digitato la password deve considerare il Mac compromesso.