CrashStealer est un nouveau logiciel de vol d’informations pour macOS qui se fait passer pour le composant CrashReporter d’Apple, utilise un programme d’installation certifié par Apple pour contourner Gatekeeper, incite les utilisateurs à lui communiquer leur mot de passe, puis pille systématiquement les navigateurs, les gestionnaires de mots de passe, les portefeuilles de cryptomonnaies et les secrets du trousseau avant de les exfiltrer dans des paquets chiffrés en AES.
Les chercheurs suivent l'évolution de CrashStealer depuis mai 2026. Ce logiciel malveillant usurpe l'identité du composant CrashReporter d'Apple en adoptant le nom CrashReporter.app. Il crée également un LaunchAgent nommé com.apple.crashreporter.helper et utilise l'icône et les métadonnées de l'outil légitime afin de paraître aussi fiable que possible.
Gatekeeper, qui fait en quelque sorte office de « videur » pour macOS, vérifie si une application semble sûre avant d’autoriser son exécution. En utilisant un programme d’installation certifié — c’est-à-dire un programme qu’Apple a analysé et validé —, Gatekeeper est plus susceptible de l’autoriser sans déclencher d’alerte. Le fait qu’un programme soit certifié ne signifie pas qu’Apple ait intentionnellement approuvé le logiciel malveillant. Cela signifie simplement que le programme d’installation a passé avec succès les contrôles automatisés d’Apple, et que les pirates ont abusé de cette confiance.
Le programme d'installation certifié par un notaire, baptisé « Werkbit Setup », est diffusé depuis un faux site de logiciels enregistré fin juin et dont l'accès est protégé par un code PIN (numéro d'identification personnel), ce qui laisse supposer qu'il s'agit d'une campagne ciblée, accessible uniquement sur invitation.
Une fois lancé, le logiciel malveillant affiche une fausse fenêtre de demande de mot de passe macOS, similaire à celle à laquelle les utilisateurs s’attendent lorsqu’ils effectuent une opération système légitime nécessitant des privilèges d’administrateur. En réalité, le logiciel malveillant utilise ce mot de passe pour déverrouiller le « Keychain » de l’utilisateur, qui stocke les mots de passe et autres données sensibles dans le coffre-fort crypté de macOS.

Le logiciel malveillant vole ensuite les identifiants et les cookies du navigateur, les extensions de portefeuilles de cryptomonnaies, les données des gestionnaires de mots de passe, ainsi que de petits fichiers présents dans les répertoires utilisateur courants. Les données volées sont chiffrées puis envoyées à un serveur de commande et de contrôle (C2).
CrashStealer nous rappelle que macOS est clairement dans le collimateur des opérations visant à voler des identifiants. La notarisation et Gatekeeper réduisent de nombreux types de risques, mais ils ne dispensent pas de mettre en place des défenses à plusieurs niveaux, d’adopter un comportement prudent de la part des utilisateurs et d’assurer une surveillance continue des menaces.
Comment rester en sécurité
Il existe plusieurs mesures que vous pouvez prendre pour vous protéger contre CrashStealer et d'autres logiciels d'espionnage.
- Méfiez-vous des téléchargements de « CrashReporter ». Les outils de signalement des plantages d'Apple sont intégrés à macOS ; vous ne devriez donc jamais avoir besoin de télécharger une application CrashReporter distincte depuis un site tiers.
- Faites preuve de prudence face aux programmes d'installation protégés par un code PIN. Si une invitation à une réunion ou un outil de collaboration vous demande de télécharger un logiciel provenant d'un domaine inconnu et de saisir un code PIN privé pour déverrouiller le programme d'installation, vérifiez la légitimité de cette demande auprès de l'organisateur via un autre canal fiable.
- Considérez comme un signal d'alerte toute demande de mot de passe qui s'affiche immédiatement après le lancement d'une application nouvelle ou inconnue, en particulier si celle-ci prétend faire partie des composants du système.
- Utilisez un logiciel de sécurité fiable compatible avec macOS. Veillez à ce qu'il soit à jour, tout comme macOS lui-même.
- Répartissez vos risques. Évitez autant que possible de conserver sur un même ordinateur et dans un même profil utilisateur vos portefeuilles de cryptomonnaies de grande valeur, vos gestionnaires de mots de passe et vos identifiants de navigation quotidiens.
Malwarebytes CrashStealer sous le nom de MacOS.Stealer.Crash.
Nous ne nous contentons pas de signaler les menaces, nous les éliminons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.




