CrashStealer: il nuovo malware per macOS che simula il tool di report degli crash di Apple per rubare dati

CrashStealer: il nuovo malware per macOS che simula il tool di report degli crash di Apple per rubare dati

CrashStealer: il nuovo malware per macOS che simula il tool di report degli crash di Apple per rubare dati

Se utilizzi un Mac, è fondamentale essere consapevoli di una nuova e sofisticata minaccia informatica che sta circolando online: CrashStealer. Questo malware è progettato per ingannare gli utenti facendogli credere di essere un legittimo strumento di segnalazione degli errori di Apple, mentre in realtà è un programma malevolo che ruba le tue informazioni più sensibili. La cosa più pericolosa è che riesce a superare le normali protezioni del tuo computer senza generare avvisi di sicurezza.

La soluzione immediata e semplice per proteggersi è questa: non scaricare mai file da siti non verificati, ignora le richieste di installazione che appaiono improvvisamente senza che tu abbia avviato un download specifico, e se ricevi una richiesta di password che sembra provenire da un sistema di crash di Apple, non inserirla mai. Se hai già installato un file sospetto, disconnetti immediatamente il Mac dalla rete, esegui un antivirus aggiornato e cambia tutte le tue password principali da un dispositivo sicuro, come un telefono o un altro computer non compromesso.

CrashStealer non è un semplice virus che mostra pubblicità fastidiosa; è un “infostealer” (malware che ruba informazioni) che mira a ottenere l’accesso completo ai tuoi dati finanziari, alle tue credenziali di accesso e alla tua identità digitale. Una volta che il malware è attivo, può accedere a credenziali dei browser, dati dei wallet di criptovaluta, registri del password manager, file personali e, cosa particolarmente grave, al materiale della Keychain di macOS. La Keychain è il vault di password crittografato del sistema che contiene non solo i siti web visitati, ma anche le password Wi-Fi, le chiavi private e i certificati di sicurezza. La perdita di questi dati può portare a frodi finanziarie dirette, furto di identità e accesso illegittimo a servizi aziendali o privati.

La particolarità di questo attacco è la sua capacità di inganno sociale. Il malware appare come un’applicazione affidabile, spesso distribuita tramite un installer chiamato “Werkbit Setup”. Questo installer è firmato digitalmente e possiede un “ticket di notarizzazione” di Apple, il che significa che il sistema operativo lo riconosce come legittimo e non lo blocca con il Gatekeeper, il sistema di sicurezza integrato di macOS. Questo è un passo raro e sofisticato per i malware, poiché dimostra che gli attaccanti hanno ottenuto l’accesso a certificati di sviluppo validi o hanno sfruttato vulnerabilità per notarizzare il loro codice. Quando l’utente esegue il file, il malware mostra una falsa finestra di richiesta della password di amministratore, convincendo l’utente che si tratta di un’operazione di sistema necessaria per registrare un crash. Se l’utente inserisce la password, il malware la utilizza per sbloccare la Keychain, ottenendo così l’accesso a tutte le password salvate nel sistema.

Dopo aver raccolto i dati, CrashStealer non si limita a inviarli in chiaro. Utilizza un algoritmo di crittografia avanzato, AES-256-GCM, per proteggere i file rubati, impacchettandoli in archivi ZIP nascosti prima di trasmetterli al server di comando e controllo (C2) degli attaccanti tramite la libreria libcurl. Questa combinazione di tecniche di ingegneria sociale, bypass delle protezioni di sicurezza e crittografia robusta rende CrashStealer una delle minacce più pericolose per l’ecosistema Apple attualmente in circolazione.

Cosa ruba esattamente CrashStealer?

La portata dei dati raccolti da CrashStealer è estremamente ampia e mirata a colpire gli aspetti più critici della vita digitale di un utente. Gli analisti di Jamf Threat Labs, che hanno condotto un’analisi approfondita del malware, hanno identificato le seguenti categorie di dati target:

  • Credenziali e Cookie dei Browser: Il malware estrae dati da tutti i browser basati su Chromium (come Google Chrome, Microsoft Edge, Brave, Opera e Vivaldi) e da Firefox. Questo include nomi utente, password salvate, cookie di sessione e dati di autocompletamento, permettendo agli attaccanti di accedere direttamente ai tuoi account senza bisogno di password.
  • Wallet di Criptovaluta: Una delle funzioni più dannose è il targeting di circa 80 estensioni di wallet di criptovaluta. Questo include piattaforme popolari come MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Rabby, Exodus, Keplr e Solflare. La perdita di accesso a questi wallet può risultare in un furto immediato di asset digitali, spesso irreversibile.
  • Password Manager: CrashStealer mira a 14 dei principali gestori di password, inclusi 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass e RoboForm. Se un password manager viene compromesso, tutte le password che gestisce diventano accessibili agli attaccanti.
  • File Personali: Il malware scansiona le directory utente come Documenti e Download per recuperare file sensibili. Tuttavia, è programmato per evitare intenzionalmente file multimediali di grandi dimensioni, installer e directory del sistema, per ridurre la probabilità di essere notato o di rallentare il sistema durante l’esfiltrazione.
  • Keychain di macOS: Come già sottolineato, l’accesso alla Keychain è il punto critico. Questa contiene segreti locali, password di applicazioni, chiavi private e certificati, rendendo il danno potenzialmente devastante per la sicurezza a lungo termine dell’utente.

Come funziona la catena di attacco

La catena di attacco di CrashStealer è un esempio di ingegneria sociale avanzata combinata con tecniche di bypass della sicurezza. Il processo inizia con il download di un file chiamato “Werkbit Setup”, che è un’immagine del disco contenente il bundle dell’applicazione malevola. Questo file è firmato con un ID Sviluppatore legittimo e ha un ticket di notarizzazione “stapled” (incollato), che permette di superare il Gatekeeper di macOS senza alcuna avvisaglia per l’utente.

Quando l’utente esegue l’applicazione, il malware non mostra immediatamente il suo comportamento malevolo. Invece, valida la password di login dell’utente localmente utilizzando il comando dscl. Questo passaggio è cruciale perché il malware ha bisogno di la password per sbloccare la Keychain. Una volta ottenuta e confermata la password, il malware copia il file login.keychain-db in una directory di staging nascosta e salva la password catturata per l’esfiltrazione futura.

Prima di procedere con l’esfiltrazione, CrashStealer esegue anche un profilo degli strumenti di sicurezza installati sul sistema, cercando di identificare e potenzialmente disattivare software antivirus o di monitoraggio che potrebbero interferire con il suo lavoro. Questo comportamento di “preparazione” dimostra che il malware è progettato per operare in modo silenzioso ed efficace, minimizzando le possibilità di essere rilevato durante l’attività.

Impatto e rischi per gli utenti

L’impatto di CrashStealer può essere immediato e duraturo. Per gli utenti che possiedono criptovalute, il rischio è il furto totale del portafoglio. Per gli utenti generali, significa la perdita di accesso a account email, social media, servizi bancari e piattaforme di lavoro. La compromissione della Keychain è particolarmente grave perché può permettere agli attaccanti di accedere a servizi che utilizzano l’autenticazione basata su certificati o chiavi private, bypassando anche le protezioni aggiuntive come l’autenticazione a due fattori (2FA) se il malware è già presente sul dispositivo.

Inoltre, poiché il malware utilizza una crittografia robusta per i dati rubati, gli utenti non hanno modo di sapere se i loro dati sono stati compromessi fino a quando non si manifestano i primi segni di furto, come accessi insoliti o transazioni finanziarie. La natura silenziosa del malware, combinata con la sua capacità di bypassare le protezioni di sicurezza, rende la prevenzione e la consapevolezza l’unica vera difesa efficace.

Technical Deep Dive

Per gli utenti tecnici e i professionisti della sicurezza, CrashStealer offre diversi elementi interessanti che lo distinguono dai malware infostealer tradizionali per macOS. Analizzando il codice e il comportamento del malware, possiamo identificare le seguenti caratteristiche tecniche avanzate:

Architettura e Codice

CrashStealer è scritto in C++ nativo, un linguaggio che permette un’alta efficienza e un controllo diretto sulle risorse del sistema. Questo lo rende più difficile da analizzare dinamicamente rispetto a malware scritti in linguaggi di scripting o basati su runtime virtuali. Il codice nativo permette anche di integrare direttamente le librerie di sistema di macOS, come dscl per la validazione della password e libcurl per la trasmissione dei dati, senza bisogno di dipendenze esterne.

Meccanismi di Bypass del Gatekeeper

Il punto più critico di questo malware è la sua capacità di bypassare il Gatekeeper. Il file “Werkbit Setup” è firmato con un Developer ID legittimo e possiede un ticket di notarizzazione stapled. La notarizzazione di Apple è un processo in cui il sistema verifica che l’applicazione non sia stata modificata e che sia stata esaminata da Apple per malware. Il fatto che un malware abbia un ticket di notarizzazione valido indica che gli attaccanti hanno probabilmente ottenuto un certificato di sviluppo compromesso o hanno sfruttato una vulnerabilità nel processo di notarizzazione per registrare il loro codice come legittimo. Questo è un passo raro e sofisticato, poiché la maggior parte dei malware per macOS utilizza firme self-signed o non firmate, che vengono bloccate immediatamente dal Gatekeeper.

Tecniche di Validazione della Password e Sblocco della Keychain

Il malware utilizza il comando dscl (Directory Service Command Line) per validare la password dell’utente localmente. Questo approccio evita di inviare la password in chiaro al server C2 per la validazione, riducendo il rischio di intercettazione. Una volta validata, la password viene utilizzata per sbloccare la Keychain. Il malware copia il file login.keychain-db in una directory di staging nascosta, permettendo l’accesso a tutti i segreti crittografati. Questo è un metodo più efficiente rispetto ai tentativi di decrittazione forzata, poiché sfrutta la credenziale dell’utente per ottenere l’accesso.

Crittografia e Esfiltrazione

Prima di esfiltrare i dati, CrashStealer applica la crittografia AES-256-GCM (Advanced Encryption Standard con modalità Galois/Counter Mode). Questa è un algoritmo di crittografia simmetrica molto forte, utilizzato anche in contesti militari e governativi. L’uso di AES-256-GCM per un infostealer è insolito, poiché la maggior parte dei malware utilizza algoritmi più semplici o crittografia leggera per ridurre il carico di calcolo. La scelta di AES-256-GCM suggerisce che gli attaccanti vogliono proteggere i dati rubati anche durante il trasferimento, rendendo difficile l’analisi dei dati se il traffico di rete viene intercettato. I dati crittografati sono poi impacchettati in archivi ZIP nascosti e inviati al server C2 tramite libcurl, una libreria di trasferimento dati ampiamente utilizzata e spesso considerata affidabile, che può aiutare a bypassare i controlli di sicurezza del firewall.

Profilazione e Anti-Analisi

CrashStealer esegue una profilazione degli strumenti di sicurezza installati sul sistema, cercando di identificare software antivirus o di monitoraggio. Questo comportamento è tipico dei malware di livello avanzato, che tentano di neutralizzare le difese prima di procedere con l’esfiltrazione. Inoltre, il malware include routine anti-analisi che verificano la presenza di ambienti virtualizzati, come VMware o VirtualBox, per evitare di essere analizzato in un ambiente di test sicuro.

Persistenza e Comando e Controllo

Il malware stabilisce la persistenza sul sistema tramite un LaunchDaemon, un componente di macOS che esegue processi in background con privilegi elevati. Questo permette al malware di rimanere attivo anche dopo il riavvio del sistema. Il sistema si registra presso il server C2, che gestisce l’ordinamento delle operazioni di esfiltrazione e l’aggiornamento del malware. L’infrastruttura C2 è probabilmente distribuita su diversi server per evitare il blocco da parte delle autorità o dei provider di servizi internet.

Conclusione Tecnica

CrashStealer rappresenta un’evoluzione significativa nel panorama delle minacce per macOS. La combinazione di codice nativo, bypass avanzato del Gatekeeper, validazione locale della password, crittografia robusta e tecniche di anti-analisi lo rende una minaccia difficile da rilevare e neutralizzare. La sua capacità di ingannare gli utenti con un’interfaccia di sistema legittima e di bypassare le protezioni di sicurezza di Apple richiede un approccio di sicurezza aggiornato, che includa non solo software antivirus, ma anche una forte consapevolezza degli utenti e pratiche di navigazione sicure.

Fonte: https://t.me/thehackernews/9491

Torna in alto