CrashStealer imite l’outil de rapport de plantage d’Apple pour tromper les utilisateurs de Mac. Ce logiciel malveillant écrit en C++ natif vole des mots de passe, des identifiants bancaires et des portefeuilles de cryptomonnaies avant de chiffrer puis d’exfiltrer les données collectées.

Une première version de CrashStealer a été repérée en mai, encore inachevée. Les détections en conditions réelles remontent à début juillet. Le logiciel infecte macOS et emprunte le nom CrashReporter.app, celui du composant système chargé de signaler les plantages. Une fois lancé, il affiche une fenêtre d’authentification identique à celle du système et réclame le mot de passe du compte. Ce mot de passe déverrouille ensuite le trousseau, la base chiffrée au sein de laquelle macOS conserve identifiants Wi-Fi, mots de passe Safari et clés privées. Le programme s’attaque également aux navigateurs, aux gestionnaires de mots de passe et à plus de 80 extensions de portefeuilles de cryptomonnaies.
L’installeur signé contourne Gatekeeper sans alerter
Le premier maillon de la chaîne d’infection, Werkbit est une fausse application de réunion diffusée depuis un site dédié. Son exécutable, veltod, détient un identifiant de développeur Apple valide et un certificat authentifié par le processus de notarisation d’Apple, selon l’analyse technique de Jamf Threat Labs. Grâce à cette double couverture, le fichier franchit Gatekeeper, le système de vérification intégré à macOS, sans déclencher le moindre avertissement.
Une fois le disque monté, un message invite l’utilisateur à faire un clic droit sur l’application et à choisir Ouvrir. Le fichier veltod contacte alors un dépôt GitHub pour récupérer un script qui télécharge la charge finale, enregistrée sous le nom CrashReporter.dmg dans le dossier temporaire du système.
Le téléchargement du premier étage reste verrouillé derrière un code PIN transmis lors de fausses réunions. Les scanners automatisés n’y accèdent donc pas, ni les visiteurs ordinaires du site. Ses opérateurs ont enregistré le nom de domaine werkbit.io fin juin, quelques semaines avant les premières attaques en conditions réelles. Une fenêtre étroite sépare la création du site et son usage malveillant.
Le code intègre par ailleurs plusieurs mécanismes de résistance à l’analyse. Une technique d’aplatissement du flux de contrôle complique la lecture du binaire, tandis que les chaînes de caractères restent chiffrées jusqu’à l’exécution. Plusieurs vérifications anti-débogueur ralentissent le travail des chercheurs.

Apple révoque les certificats et l’enquête ne concerne pas que macOS
Avant de collecter quoi que ce soit, le programme dresse la liste des outils de sécurité installés sur la machine, une étape qui aide potentiellement ses opérateurs à évaluer si le Mac est surveillé. Jamf a ensuite dressé l’inventaire des données que CrashStealer collecte une fois cette vérification passée. Le malware récupère identifiants et cookies dans Chrome, Firefox, Edge, Brave, Opera et Vivaldi. Il s’attaque à plus de 80 extensions de portefeuilles de cryptomonnaies, parmi lesquelles MetaMask, Phantom, Coinbase Wallet et Trust Wallet. Quatorze gestionnaires de mots de passe sont aussi concernés, dont 1Password, Bitwarden et LastPass.
Avant l’envoi vers le serveur de commande, CrashStealer chiffre les données volées avec l’algorithme AES-256-GCM, une méthode jugée par Jamf plus robuste que celle des voleurs de données concurrents. Le programme compresse ensuite le tout dans des archives ZIP cachées et transmet l’ensemble via la bibliothèque libcurl. Il s’installe par ailleurs comme agent de lancement sous le nom com.Apple.crashreporter.helper et redémarre alors automatiquement à chaque connexion. Le programme réécrit aussi sa propre signature de code, une opération qui modifie son empreinte numérique sans toucher au code lui-même.
Apple a révoqué les certificats liés à Werkbit après la publication du rapport de Jamf. L’installeur perd donc sa couverture de notarisation, celle qui lui donnait accès à Gatekeeper sans déclencher d’alerte. Jamf a par ailleurs repéré un panneau de contrôle actif et plusieurs domaines d’infrastructure liés à la même opération. Cette découverte suggère une campagne qui dépasse le seul écosystème macOS, avec des ramifications sur d’autres plateformes.
Si vous avez lancé l’application et saisi votre mot de passe, alors vous devez, selon les recommandations du Jamf Threat Labs, considérer votre Mac comme compromis et envisager une réinstallation complète de votre système. Courage.