CrashStealer se déguise en fonctionnaire officiel d'Apple, les utilisateurs de Mac sont invités à faire attention
JAKARTA - Les utilisateurs de Mac sont priés de se montrer plus vigilants après que des chercheurs en cybersécurité aient découvert un nouveau malware appelé CrashStealer qui se fait passer pour une utilitaire officielle d’Apple. Le malware est conçu pour voler diverses données sensibles, des mots de passe aux données du navigateur en passant par les portefeuilles d’actifs cryptographiques.
Ces conclusions ont été divulguées par Jamf Threat Labs, qui a découvert que CrashStealer se propageait activement via une application fausse appelée Werkbit.
Ce qui rend cette menace encore plus dangereuse, c’est que le malware a échappé au mécanisme de sécurité de notarisation d’Apple, de sorte qu’il n’a pas été bloqué immédiatement par Gatekeeper, le système de sécurité intégré à macOS qui empêche généralement l’exécution d’applications dangereuses.
CrashStealer fonctionne en se faisant passer pour CrashReporter.app, une application dont l'apparence est créée pour ressembler à l'application de rapport de pannes (crash reporting) intégrée à macOS. En raison de son apparence très convaincante, de nombreux utilisateurs penseront probablement que l'application est une composante officielle d'Apple. En fait, la fonction Crash Reporter est déjà intégrée à macOS et ne doit pas être téléchargée séparément.
Lors de son exécution, l’application fausse demande l’autorisation Full Disk Access sous prétexte d’administration du système. Après cela, le malware affiche une boîte de dialogue demandant un mot de passe dont l’apparence est presque identique à la fenêtre d’authentification officielle de macOS.
Si l’utilisateur saisit le mot de passe de l’administrateur, CrashStealer l’utilise immédiatement pour accéder à Login Keychain, où macOS stocke diverses informations d’identification importantes.
Incar Password jusqu'à portefeuille de crypto-monnaie
Selon Jamf Threat Labs, CrashStealer est conçu pour collecter différents types de données sensibles, notamment:
les données du navigateur,
informations de Keychain Login,
les données du gestionnaire de mots de passe,
le fichier dans le dossier Documents,
le fichier dans le dossier Téléchargements,
extension du portefeuille de crypto-monnaie.
Ce malware est capable de cibler plus de 80 extensions de portefeuilles de crypto-monnaie ainsi que 14 applications de gestion de mots de passe au moins.
Les cibles de certains gestionnaires de mots de passe incluent:
1Password,
LastPass,
Dashlane.
Toutes les données collectées sont ensuite chiffrées à l'aide de l'algorithme AES-256-GCM via le framework CommonCrypto d'Apple avant d'être envoyées au serveur du pirate.
Échapper au système de sécurité d'Apple
L’une des choses les plus inquiétantes est la capacité de CrashStealer à contourner le processus de notarisation d’Apple. La notarisation est un mécanisme de sécurité utilisé par Apple pour vérifier si une application contient du code dangereux avant de l’autoriser à s’exécuter sur macOS.
Cependant, dans ce cas, l’application Werkbit a pu obtenir le statut notarié, de sorte que Gatekeeper l’a considérée comme une application sûre.
Jamf estime que la mise en œuvre de CrashStealer montre un niveau de sophistication plus élevé que la plupart des logiciels malveillants de vol de données car elle est capable de masquer ses activités très soigneusement.
Apple a fermé une voie d'attaque
Jamf a d́couverte CrashStealer pour la premìre fois en mai 2026 et a détecté de nouveau le malware en juillet.
Après avoir reçu le rapport, Apple a retiré les certificats de signature (credentials de signature) de l’application Werkbit, de sorte que la voie de diffusion trouvée par les chercheurs a maintenant été désactivée.
Les chercheurs ont toutefois rappelé que les auteurs pourraient utiliser d'autres méthodes pour distribuer des logiciels malveillants similaires à l'avenir.
Il est intéressant de noter que la version initiale de CrashStealer ne peut être installée qu’avec un PIN spécial. Cela indique que ce malware est probablement utilisé dans des attaques ciblant des individus ou des groupes spécifiques, plutôt que dans une diffusion massive.
Comment se protéger
Jamf recommande aux utilisateurs de Mac de faire preuve de plus de prudence lorsqu'ils téléchargent des applications sur Internet.
Quelques mesures suggérées incluent:
ne téléchargez pas d'applications qui prétendent être CrashReporter car cette fonctionnalité est déjà disponible par défaut sous macOS ;
soyez vigilant avec les applications qui demandent directement le mot de passe de l'administrateur lors de leur première ouverture ;
téléchargez uniquement des applications provenant de sources fiables ;
assurez-vous de mettre à jour macOS à la dernière version pour bénéficier des dernières protections de sécurité.
Le cas de CrashStealer montre que les systèmes de sécurité modernes ne sont pas toujours en mesure d'arrêter toutes les menaces. Les techniques de camouflage de plus en plus sophistiquées font des utilisateurs la couche de défense la plus importante. Par conséquent, vérifier l'origine d'une application avant de l'installer et ne pas donner accidentellement des autorisations d'accès ou saisir le mot de passe de l'administrateur est une étape simple qui peut empêcher le vol d'informations importantes et d'actifs numériques.