CrashStealer es un nuevo programa de robo de información para macOS que se hace pasar por el componente CrashReporter de Apple, utiliza un instalador notariado por Apple para eludir Gatekeeper, engaña a los usuarios para que le faciliten su contraseña y, a continuación, saquea sistemáticamente los navegadores, los gestores de contraseñas, las carteras de criptomonedas y los secretos del Llavero antes de extraerlos en paquetes cifrados con AES.
Los investigadores llevan siguiendo la evolución de CrashStealer desde mayo de 2026. Este programa se hace pasar por el componente CrashReporter de Apple utilizando el nombre CrashReporter.app. Además, crea un LaunchAgent denominado com.apple.crashreporter.helper y utiliza el icono y los metadatos de la herramienta legítima para parecer lo más fiable posible.
Gatekeeper, que básicamente es el «portero» de macOS, comprueba si una aplicación parece segura antes de permitir su ejecución. Al utilizar un instalador certificado —es decir, uno que Apple ha analizado y validado como aceptable—, es más probable que Gatekeeper lo deje pasar sin activar ninguna alarma. El hecho de que esté certificado no significa que Apple haya aprobado intencionadamente el malware. Significa que el instalador superó los controles automáticos de Apple y que los atacantes se aprovecharon de esa confianza.
El instalador certificado ante notario, denominado «Werkbit Setup», se distribuye desde una página web de software falsa registrada a finales de junio y a la que solo se puede acceder mediante un PIN (número de identificación personal) de reunión, lo que sugiere que se trata de una campaña dirigida y exclusiva para invitados.
Al ejecutarse, el malware muestra una ventana falsa de solicitud de contraseña de macOS, similar a la que los usuarios esperan ver al realizar una operación legítima del sistema que requiera privilegios de administrador. En realidad, el malware utiliza esa contraseña para desbloquear el «Keychain» del usuario, que almacena contraseñas y otros datos confidenciales en la caja fuerte de contraseñas cifrada de macOS.

A continuación, el malware roba las credenciales y las cookies del navegador, las extensiones de carteras de criptomonedas, los datos de los gestores de contraseñas y pequeños archivos de los directorios habituales de los usuarios. Los datos robados se cifran y se envían a un servidor de comando y control (C2).
CrashStealer nos recuerda que macOS es un objetivo claro de las operaciones de robo de credenciales. La notarización y Gatekeeper reducen muchos tipos de riesgo, pero no eliminan la necesidad de contar con defensas en varias capas, un comportamiento prudente por parte de los usuarios y una vigilancia continua de las amenazas.
Cómo mantenerse seguro
Hay algunas cosas que puedes hacer para protegerte de CrashStealer y otros programas de robo de información.
- Desconfía de las descargas de «CrashReporter». Las herramientas de Apple para informar de fallos vienen incluidas en macOS, por lo que nunca deberías tener que descargar una aplicación de CrashReporter por separado desde una página web de terceros.
- Ten cuidado con los instaladores protegidos por PIN. Si una invitación a una reunión o una herramienta de colaboración te pide que descargues software de un dominio desconocido e introduzcas un PIN privado para desbloquear el instalador, verifica la solicitud con el organizador a través de un canal de confianza independiente.
- Considera como una señal de alarma cualquier solicitud de contraseña que aparezca inmediatamente después de iniciar una aplicación nueva o desconocida, sobre todo si esta afirma ser un componente del sistema.
- Utiliza un programa de seguridad de confianza que sea compatible con macOS. Manténlo actualizado, al igual que el propio macOS.
- Distribuye los riesgos. Evita, en la medida de lo posible, guardar carteras de criptomonedas de gran valor, almacenes de contraseñas y credenciales de navegación habituales en el mismo dispositivo y perfil de usuario.
Malwarebytes CrashStealer como MacOS.Stealer.Crash.
No nos limitamos a informar de las amenazas: las eliminamos
Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.




