Deze nep-app van Apple kan de wachtwoordkluis Macje Macontgrendelen

| 15 juli 2026
Apple MacBook

CrashStealer is een nieuwe infostealer voor macOS die zich voordoet als de CrashReporter-component van Apple, een door Apple gewaarmerkt installatieprogramma gebruikt om Gatekeeper te omzeilen, gebruikers ertoe verleidt hun wachtwoord prijs te geven, en vervolgens systematisch gegevens uit browsers, wachtwoordbeheerders, cryptowallets en Keychain-geheimen plundert, alvorens deze in AES-versleutelde bundels naar buiten te smokkelen.

Onderzoekers volgen de ontwikkeling van CrashStealer al sinds mei 2026. Het programma doet zich voor als de CrashReporter-component van Apple door de naam CrashReporter.app aan te nemen. Daarnaast maakt het een LaunchAgent aan met de naam com.apple.crashreporter.helper en gebruikt het het pictogram en de metagegevens van de legitieme tool om er zo betrouwbaar mogelijk uit te zien.

Gatekeeper, in feite de ‘portier’ van macOS, controleert of een app veilig lijkt voordat deze wordt uitgevoerd. Door een ‘notarized’ installatiebestand te gebruiken – een bestand dat Apple heeft gescand en als aanvaardbaar heeft bestempeld – is de kans groter dat Gatekeeper het doorlaat zonder alarm te slaan. Dat een installatiebestand ‘notarized’ is, betekent niet dat Apple de malware opzettelijk heeft goedgekeurd. Het betekent dat het installatiebestand de geautomatiseerde controles van Apple heeft doorstaan, en dat de aanvallers dat vertrouwen hebben misbruikt.

Het notarieel gewaarmerkte installatieprogramma, genaamd „Werkbit Setup”, wordt verspreid via een valse softwaresite die eind juni is geregistreerd en die alleen toegankelijk is met een vergader-PIN (Personal Identification Number), wat wijst op een gerichte campagne die uitsluitend op uitnodiging plaatsvindt.

Zodra de malware wordt gestart, verschijnt er een vals macOS-wachtwoordvenster dat gebruikers zouden verwachten te zien bij het uitvoeren van een legitieme systeembewerking waarvoor beheerdersrechten nodig zijn. In werkelijkheid gebruikt de malware dat wachtwoord om de sleutelhanger van de gebruiker te ontgrendelen, waarin wachtwoorden en andere gevoelige gegevens zijn opgeslagen in de versleutelde wachtwoordkluis van macOS.

Vals wachtwoordvenster, afbeelding met dank aan Jamf Labs
Afbeelding met dank aan Jamf Labs

De malware steelt vervolgens inloggegevens en cookies van de browser, extensies voor cryptovaluta-wallets, gegevens van wachtwoordbeheerders en kleine bestanden uit veelgebruikte gebruikersmappen. De gestolen gegevens worden versleuteld en naar een command-and-control-server (C2) verzonden.

CrashStealer herinnert ons eraan dat macOS nog steeds een belangrijk doelwit is voor aanvallen gericht op het stelen van inloggegevens. Notarisatie en Gatekeeper verminderen veel soorten risico’s, maar maken gelaagde beveiliging, voorzichtig gebruikersgedrag en voortdurende monitoring van bedreigingen nog steeds noodzakelijk.

Hoe blijf ik veilig

Er zijn een paar dingen die je kunt doen om jezelf te beschermen tegen CrashStealer en andere infostealers.

  • Wees op je hoede voor downloads van „CrashReporter“. De tools van Apple voor het melden van crashes zitten standaard in macOS, dus je hoeft nooit een aparte CrashReporter-app van een website van een derde partij te downloaden.
  • Wees voorzichtig met installatieprogramma’s die met een pincode worden geactiveerd. Als je voor een uitnodiging voor een vergadering of een samenwerkingsprogramma software moet downloaden van een onbekend domein en een persoonlijke pincode moet invoeren om het installatieprogramma te ontgrendelen, controleer het verzoek dan bij de organisator via een apart, betrouwbaar kanaal.
  • Beschouw een wachtwoordverzoek dat direct na het starten van een nieuwe of onbekende app verschijnt – vooral als deze beweert een systeemonderdeel te zijn – als een alarmsignaal.
  • Gebruik betrouwbare beveiligingssoftware die macOS ondersteunt. Zorg ervoor dat zowel de software als macOS zelf up-to-date blijven.
  • Spreid je risico’s. Bewaar waar mogelijk geen crypto-wallets met hoge waarden, wachtwoordkluizen en inloggegevens voor dagelijks internetgebruik op dezelfde computer en in hetzelfde gebruikersprofiel.

Malwarebytes CrashStealer als MacOS.Stealer.Crash.


We rapporteren niet alleen over bedreigingen - we verwijderen ze ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.

Over de auteur

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.