CrashStealer è un nuovo programma di furto di informazioni per macOS che si maschera da componente CrashReporter di Apple, utilizza un programma di installazione autenticato da Apple per eludere Gatekeeper, induce gli utenti a rivelare la propria password e poi saccheggia sistematicamente browser, gestori di password, portafogli di criptovalute e dati riservati presenti nel Keychain, per poi esfiltrarli in pacchetti crittografati con AES.
I ricercatori stanno monitorando lo sviluppo di CrashStealer dal maggio 2026. Il malware si spaccia per il componente CrashReporter di Apple, assumendo il nome CrashReporter.app. Crea inoltre un LaunchAgent denominato com.apple.crashreporter.helper e utilizza l’icona e i metadati dello strumento legittimo per apparire il più affidabile possibile.
Gatekeeper, in pratica il “buttafuori” di macOS, verifica se un’app sembra sicura prima di consentirne l’esecuzione. Utilizzando un programma di installazione autenticato — ovvero uno che Apple ha analizzato e certificato come accettabile — è più probabile che Gatekeeper lo lasci passare senza far scattare alcun allarme. L’autenticazione non significa che Apple abbia intenzionalmente approvato il malware. Significa che il programma di installazione ha superato i controlli automatici di Apple e che gli autori dell’attacco hanno abusato di tale fiducia.
Il programma di installazione autenticato da un notaio, denominato “Werkbit Setup”, viene distribuito da un sito di software fasullo registrato alla fine di giugno e accessibile solo tramite un PIN (numero di identificazione personale), il che fa supporre che si tratti di una campagna mirata, accessibile solo su invito.
Una volta avviato, il malware visualizza una finta finestra di richiesta della password di macOS, simile a quella che gli utenti si aspetterebbero di vedere durante l’esecuzione di un’operazione di sistema legittima che richiede privilegi di amministratore. In realtà, il malware utilizza quella password per sbloccare il Keychain dell’utente, che memorizza password e altri dati sensibili nel deposito crittografato di macOS.

Il malware ruba quindi le credenziali e i cookie del browser, le estensioni dei portafogli di criptovalute, i dati dei gestori di password e piccoli file presenti nelle directory utente più comuni. I dati rubati vengono crittografati e inviati a un server di comando e controllo (C2).
CrashStealer ci ricorda che macOS è decisamente nel mirino delle operazioni volte al furto di credenziali. La notarizzazione e Gatekeeper riducono molte categorie di rischio, ma non eliminano la necessità di difese a più livelli, di un comportamento prudente da parte degli utenti e di un monitoraggio costante delle minacce.
Come stare al sicuro
Ci sono alcune cose che puoi fare per proteggerti da CrashStealer e da altri programmi di furto di informazioni.
- Diffidate dei download di “CrashReporter”. Gli strumenti di segnalazione degli arresti anomali di Apple sono già integrati in macOS, quindi non dovreste mai avere bisogno di download app CrashReporter separata da un sito di terze parti.
- Presta attenzione ai programmi di installazione protetti da PIN. Se un invito a una riunione o uno strumento di collaborazione richiede di download da un dominio sconosciuto e di inserire un PIN privato per sbloccare il programma di installazione, verifica la richiesta con l'organizzatore tramite un canale affidabile separato.
- Considera come un campanello d'allarme qualsiasi richiesta di password che compaia subito dopo l'avvio di un'app nuova o sconosciuta, specialmente se questa dichiara di essere una componente di sistema.
- Utilizza un software di sicurezza affidabile compatibile con macOS. Mantieni aggiornato sia il software che il sistema operativo macOS stesso.
- Dividi i rischi. Evita, per quanto possibile, di conservare sullo stesso dispositivo e nello stesso profilo utente portafogli di criptovalute di alto valore, archivi di password e credenziali di navigazione quotidiane.
Malwarebytes CrashStealer come MacOS.Stealer.Crash.
Non ci limitiamo a segnalare le minacce, ma le eliminiamo.
I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.




