De acordo com publicação do AppleInsider, pesquisadores da empresa de segurança Jamf descobriram o CrashStealer, um novo malware para macOS do tipo infostealer — aqueles cujo objetivo principal é roubar informações do usuário.
O curioso é que o malware foi notado dentro do Werkbit, um app de videoconferências aparentemente legítimo, inclusive com certificado assinado pela Apple — o que indica que sua instalação provavelmente não resultou em alertas para os usuários.

Isso obviamente não significa que a Apple necessariamente assinou o aplicativo já com o malware, uma vez que ele pode ter baixado o código malicioso (ou o ativado) de forma remota após a instalação.
Após instalado, o app exibe uma caixa de diálogo idêntica à do macOS solicitando a permissão para acessar recursos do sistema. Essa caixa pede para que o usuário digite sua senha — o que, quando feito, acaba liberando o acesso do malware ao Mac.

O malware, cujo app transmissor já teve seu certificado revogado pela Apple, podia roubar senhas salvas em navegadores, histórico de navegação, informações de preenchimento automático, credenciais de carteiras de criptomoedas, etc.
Posts relacionados
- Malware usa mecanismo de autenticação do Mac para roubar senha do sistema
- Novo malware engana agentes de IA com alertas falsos no macOS
- Malware usa Apple, Microsoft e Google como iscas em ataques ao macOS
Como se disfarçam de aplicativos legítimos, esses malwares geralmente são baixados e instalados de maneira consciente pelo usuário em suas máquinas. Eles podem ser encontrados por meio de anúncios ou até mesmo em buscas no Google e afins.
Vale sempre se certificar de não digitar sua senha apenas porque um app pediu, principalmente se ele não for de uma fonte conhecida. Cabe também checar se as caixas de diálogo pertencem mesmo ao macOS — embora isso seja mais difícil.