O CrashStealer é um novo programa de roubo de informações para o macOS que se faz passar pelo componente CrashReporter da Apple, utiliza um instalador autenticado pela Apple para contornar o Gatekeeper, induz os utilizadores a revelarem a sua palavra-passe e, em seguida, rouba sistematicamente dados de navegadores, gestores de palavras-passe, carteiras de criptomoedas e segredos do Keychain, antes de os exfiltrar em pacotes encriptados com AES.
Os investigadores têm vindo a acompanhar o desenvolvimento do CrashStealer desde maio de 2026. Este programa faz-se passar pelo componente CrashReporter da Apple, adotando o nome CrashReporter.app. Além disso, cria um LaunchAgent denominado com.apple.crashreporter.helper e utiliza o ícone e os metadados da ferramenta legítima para parecer o mais fiável possível.
O Gatekeeper, que é basicamente o «segurança» do macOS, verifica se uma aplicação parece segura antes de permitir a sua execução. Ao utilizar um instalador autenticado — ou seja, um que a Apple tenha analisado e certificado como aceitável —, é mais provável que o Gatekeeper o deixe passar sem disparar alarmes. O facto de um instalador ser autenticado não significa que a Apple tenha aprovado intencionalmente o malware. Significa apenas que o instalador passou nas verificações automatizadas da Apple e que os atacantes abusaram dessa confiança.
O programa de instalação autenticado por notário, denominado «Werkbit Setup», é distribuído a partir de um site de software falso registado no final de junho e cujo acesso está protegido por um PIN (Número de Identificação Pessoal) de reunião, o que sugere uma campanha direcionada e exclusiva para convidados.
Quando é executado, o malware apresenta um pedido falso de palavra-passe do macOS, que os utilizadores esperariam ver ao executar uma operação legítima do sistema que exija privilégios de administrador. Na realidade, o malware utiliza essa palavra-passe para desbloquear o Keychain do utilizador, que armazena palavras-passe e outros dados sensíveis no cofre de palavras-passe encriptado do macOS.

O malware rouba, em seguida, credenciais e cookies do navegador, extensões de carteiras de criptomoedas, dados de gestores de palavras-passe e pequenos ficheiros de diretórios comuns dos utilizadores. Os dados roubados são encriptados e enviados para um servidor de comando e controlo (C2).
O CrashStealer serve para nos lembrar que o macOS está firmemente na mira de operações de roubo de credenciais. A notarização e o Gatekeeper reduzem muitos tipos de risco, mas não eliminam a necessidade de defesas em camadas, de um comportamento cauteloso por parte dos utilizadores e de uma monitorização contínua das ameaças.
Como se manter seguro
Existem algumas medidas que pode tomar para se proteger do CrashStealer e de outros programas de roubo de informações.
- Desconfie dos downloads do «CrashReporter». As ferramentas de comunicação de falhas da Apple já vêm incluídas no macOS, pelo que nunca deverá precisar de descarregar uma aplicação CrashReporter separada a partir de um site de terceiros.
- Tenha cuidado com os instaladores protegidos por PIN. Se um convite para uma reunião ou uma ferramenta de colaboração exigir que descarregue software de um domínio desconhecido e que introduza um PIN privado para desbloquear o instalador, verifique o pedido junto do organizador através de um canal de confiança separado.
- Considere como um sinal de alerta qualquer pedido de palavra-passe que apareça imediatamente após o arranque de uma aplicação nova ou desconhecida — especialmente se esta alegar ser um componente do sistema.
- Utilize software de segurança de confiança que seja compatível com o macOS. Mantenha-o, assim como o próprio macOS, atualizado.
- Diversifique os seus riscos. Sempre que possível, evite guardar carteiras de criptomoedas de elevado valor, cofres de palavras-passe e credenciais de navegação diárias no mesmo computador e perfil de utilizador.
Malwarebytes o CrashStealer como MacOS.Stealer.Crash.
Não nos limitamos a comunicar as ameaças - eliminamo-las
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.




