Este aplicativo falso da Apple pode desbloquear o cofre de senhas Macseu Mac

| 15 de julho de 2026
Apple MacBook

O CrashStealer é um novo programa de roubo de informações para o macOS que se disfarça como o componente CrashReporter da Apple, utiliza um instalador autenticado pela Apple para contornar o Gatekeeper, induz os usuários a revelarem suas senhas e, em seguida, saqueia sistematicamente navegadores, gerenciadores de senhas, carteiras de criptomoedas e segredos do Keychain antes de exfiltrá-los em pacotes criptografados com AES.

Os pesquisadores vêm acompanhando o desenvolvimento do CrashStealer desde maio de 2026. Ele se faz passar pelo componente CrashReporter da Apple, adotando o nome CrashReporter.app. Além disso, cria um LaunchAgent chamado com.apple.crashreporter.helper e utiliza o ícone e os metadados da ferramenta legítima para parecer o mais confiável possível.

O Gatekeeper, basicamente o “segurança” do macOS, verifica se um aplicativo parece seguro antes de permitir sua execução. Ao usar um instalador autenticado — aquele que a Apple verificou e certificou como aceitável —, é mais provável que o Gatekeeper permita sua execução sem disparar alarmes. A autenticação não significa que a Apple tenha aprovado intencionalmente o malware. Significa que o instalador passou pelas verificações automatizadas da Apple, e os invasores se aproveitaram dessa confiança.

O instalador autenticado, chamado “Werkbit Setup”, é distribuído a partir de um site falso de software registrado no final de junho e acessível somente mediante um PIN (Número de Identificação Pessoal) de reunião, o que sugere uma campanha direcionada e exclusiva para convidados.

Quando executado, o malware exibe uma janela falsa de solicitação de senha do macOS, semelhante à que os usuários esperariam ver ao realizar uma operação legítima do sistema que exija privilégios de administrador. Na verdade, o malware usa essa senha para desbloquear o Keychain do usuário, que armazena senhas e outros dados confidenciais no cofre de senhas criptografado do macOS.

Solicitação maliciosa de senha, imagem cortesia da Jamf Labs
Imagem cortesia da Jamf Labs

Em seguida, o malware rouba credenciais e cookies do navegador, extensões de carteiras de criptomoedas, dados de gerenciadores de senhas e pequenos arquivos de diretórios comuns do usuário. Os dados roubados são criptografados e enviados a um servidor de comando e controle (C2).

O CrashStealer serve como um lembrete de que o macOS está firmemente na mira de operações de roubo de credenciais. A notarização e o Gatekeeper reduzem muitas categorias de risco, mas não eliminam a necessidade de defesas em camadas, de um comportamento cauteloso por parte do usuário e do monitoramento contínuo de ameaças.

Como se manter seguro

Existem algumas medidas que você pode tomar para se proteger contra o CrashStealer e outros programas de roubo de informações.

  • Tenha cuidado com downloads do “CrashReporter”. As ferramentas de relatório de falhas da Apple já vêm integradas ao macOS, portanto, você nunca precisará baixar um aplicativo CrashReporter separado de um site de terceiros.
  • Tenha cuidado com instaladores protegidos por PIN. Se um convite para reunião ou uma ferramenta de colaboração exigir que você baixe um software de um domínio desconhecido e insira um PIN privado para desbloquear o instalador, verifique a solicitação com o organizador por meio de um canal confiável separado.
  • Considere como um sinal de alerta qualquer solicitação de senha que apareça imediatamente após a abertura de um aplicativo novo ou desconhecido — especialmente se ele alegar ser um componente do sistema.
  • Use um software de segurança confiável que seja compatível com o macOS. Mantenha-o, assim como o próprio macOS, atualizado.
  • Divida seus riscos. Sempre que possível, evite manter carteiras de criptomoedas de alto valor, gerenciadores de senhas e credenciais de navegação do dia a dia no mesmo computador e perfil de usuário.

O Malwarebytes o CrashStealer como MacOS.Stealer.Crash.


Não nos limitamos a informar sobre as ameaças, nós as removemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.

Sobre o autor

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.