Esta aplicação falsa da Apple pode desbloquear o cofre de palavras-passe Macseu Mac

| 15 de julho de 2026
Apple MacBook

O CrashStealer é um novo programa de roubo de informações para o macOS que se faz passar pelo componente CrashReporter da Apple, utiliza um instalador autenticado pela Apple para contornar o Gatekeeper, induz os utilizadores a revelarem a sua palavra-passe e, em seguida, rouba sistematicamente dados de navegadores, gestores de palavras-passe, carteiras de criptomoedas e segredos do Keychain, antes de os exfiltrar em pacotes encriptados com AES.

Os investigadores têm vindo a acompanhar o desenvolvimento do CrashStealer desde maio de 2026. Este programa faz-se passar pelo componente CrashReporter da Apple, adotando o nome CrashReporter.app. Além disso, cria um LaunchAgent denominado com.apple.crashreporter.helper e utiliza o ícone e os metadados da ferramenta legítima para parecer o mais fiável possível.

O Gatekeeper, que é basicamente o «segurança» do macOS, verifica se uma aplicação parece segura antes de permitir a sua execução. Ao utilizar um instalador autenticado — ou seja, um que a Apple tenha analisado e certificado como aceitável —, é mais provável que o Gatekeeper o deixe passar sem disparar alarmes. O facto de um instalador ser autenticado não significa que a Apple tenha aprovado intencionalmente o malware. Significa apenas que o instalador passou nas verificações automatizadas da Apple e que os atacantes abusaram dessa confiança.

O programa de instalação autenticado por notário, denominado «Werkbit Setup», é distribuído a partir de um site de software falso registado no final de junho e cujo acesso está protegido por um PIN (Número de Identificação Pessoal) de reunião, o que sugere uma campanha direcionada e exclusiva para convidados.

Quando é executado, o malware apresenta um pedido falso de palavra-passe do macOS, que os utilizadores esperariam ver ao executar uma operação legítima do sistema que exija privilégios de administrador. Na realidade, o malware utiliza essa palavra-passe para desbloquear o Keychain do utilizador, que armazena palavras-passe e outros dados sensíveis no cofre de palavras-passe encriptado do macOS.

Pedido de palavra-passe malicioso, imagem cedida pela Jamf Labs
Imagem cedida pela Jamf Labs

O malware rouba, em seguida, credenciais e cookies do navegador, extensões de carteiras de criptomoedas, dados de gestores de palavras-passe e pequenos ficheiros de diretórios comuns dos utilizadores. Os dados roubados são encriptados e enviados para um servidor de comando e controlo (C2).

O CrashStealer serve para nos lembrar que o macOS está firmemente na mira de operações de roubo de credenciais. A notarização e o Gatekeeper reduzem muitos tipos de risco, mas não eliminam a necessidade de defesas em camadas, de um comportamento cauteloso por parte dos utilizadores e de uma monitorização contínua das ameaças.

Como se manter seguro

Existem algumas medidas que pode tomar para se proteger do CrashStealer e de outros programas de roubo de informações.

  • Desconfie dos downloads do «CrashReporter». As ferramentas de comunicação de falhas da Apple já vêm incluídas no macOS, pelo que nunca deverá precisar de descarregar uma aplicação CrashReporter separada a partir de um site de terceiros.
  • Tenha cuidado com os instaladores protegidos por PIN. Se um convite para uma reunião ou uma ferramenta de colaboração exigir que descarregue software de um domínio desconhecido e que introduza um PIN privado para desbloquear o instalador, verifique o pedido junto do organizador através de um canal de confiança separado.
  • Considere como um sinal de alerta qualquer pedido de palavra-passe que apareça imediatamente após o arranque de uma aplicação nova ou desconhecida — especialmente se esta alegar ser um componente do sistema.
  • Utilize software de segurança de confiança que seja compatível com o macOS. Mantenha-o, assim como o próprio macOS, atualizado.
  • Diversifique os seus riscos. Sempre que possível, evite guardar carteiras de criptomoedas de elevado valor, cofres de palavras-passe e credenciais de navegação diárias no mesmo computador e perfil de utilizador.

Malwarebytes o CrashStealer como MacOS.Stealer.Crash.


Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.