Imagina que descargas una aplicación, la abres, y todo tiene toda la pinta de ser buena: el icono, el nombre, hasta la ventana que te pide la contraseña. No hay ningún aviso raro, nada que te haga sospechar . Y sin embargo, en ese mismo instante, alguien al otro lado está a punto de quedarse con tus contraseñas , tus carteras de criptomonedas y todo lo que guardas en el navegador. Eso es exactamente lo que ha encontrado Jamf Threat Labs : un malware para Mac llamado "CrashStealer" que se disfraza de CrashReporter.
La herramienta que Apple usa cuando algo falla en el sistema, y que ha conseguido colarse en ordenadores a través de un instalador que la propia Apple llegó a dar por bueno. Un instalador con todos los papeles en regla Todo empieza con un archivo llamado Werkbit, que se presenta como un instalador normal y corriente . Tiene una ventana de bienvenida, te va guiando paso a paso y hasta te dice que hagas clic derecho para abrirlo, el gesto de siempre para lanzar aplicaciones que vienen de fuera de la App Store . La diferencia es que Werkbit no necesitaba ese paso: Apple ya lo había revisado y aprobado, así que se abría sin problema.
Todo comenzó con un proceso de instalación normal Ahí está la parte que más llama la atención de todo el caso. Werkbit contaba con la firma de un desarrollador y con el sello de Apple que certifica que una aplicación ha pasado sus controles de seguridad. El mismo proceso que se supone filtra este tipo de software antes de que llegue a cualquier usuario. Jamf ha detectado que ese sello se consiguió con una cuenta de desarrollador registrada bajo el nombre Emil Grigorov, y que la propia empresa ha notificado a Apple para que revoque el acceso, algo que ya ha pasado.
Una vez abierto, Werkbit no instalaba nada sospechoso de forma directa. Se conectaba primero a GitHub , la plataforma donde muchos desarrolladores alojan su código, para descargar un archivo con instrucciones. Esas instrucciones llevaban a su vez a otro servidor, desde donde se descargaba el verdadero problema : un archivo de imagen de disco llamado CrashReporter, camuflado para no llamar la atención de quien estuviera revisando el tráfico. La app tenía todos los certificados en orden CrashReporter, el nombre que nunca vas a ver saltar solo Aquí llega la parte más ingeniosa de todo el montaje.
El archivo que se descarga en segundo plano se llama CrashReporter y estaba diseñado para parecerse a la herramienta que Apple usa de forma interna cuando una aplicación falla. Esa ventana que a veces aparece preguntando si quieres enviar un informe del error a la compañía. Mismo nombre, mismo icono, mismo identificador interno que usa el sistema para reconocer aplicaciones. Nadie sospecha de una ventana que ya lleva años apareciendo en su Mac y que jamás abres tú mismo.
Aparece sola cuando algo se cuelga. Al copiar ese disfraz, el malware consigue quedarse en segundo plano sin ventanas ni iconos visibles en el Dock, funcionando como si fuera parte del propio sistema operativo. Para rematarlo, cuando el malware necesita quedarse instalado de forma permanente, se registra con un nombre que también imita a Apple y hace que el Mac lo vuelva a abrir cada vez que enciendes el ordenador . Entonces la app te suelta este mensaje falso para obtener tu contraseña Contraseña, keychain y todo lo que guardas en el navegador En algún momento del proceso, CrashStealer te muestra una ventana pidiendo tu contraseña , con el mismo aspecto que las ventanas de macOS cuando necesitan permisos de administrador.
La excusa que da para pedirla es genérica, algo relacionado con tareas de administración del sistema, pero lo que hace con esa contraseña es bien distinto: la usa para desbloquear el llavero de tu Mac, el lugar donde macOS guarda de forma cifrada todas tus contraseñas guardadas. A partir de ahí, cae todo . Revisa los navegadores más habituales, Chrome, Brave, Edge, Opera... en busca de contraseñas guardadas y datos de sesión. Busca también extensiones de más de 80 carteras de criptomonedas distintas y otros 14 gestores de contraseñas como 1Password.
Y por si fuera poco, entra también en tus carpetas de Documentos y Descargas para revisar qué archivos podrían tener valor. Todo lo que consigue no se queda tal cual en tu Mac esperando a ser enviado: el propio malware lo cifra nada más recogerlo y lo manda a un servidor externo. La respuesta de Apple y qué puedes hacer tú Jamf avisó a Apple en cuanto confirmó que la cuenta de desarrollador detrás de Werkbit estaba distribuyendo malware, y Apple ya ha revocado ese acceso . Eso cierra la puerta que se usó en este caso, así que si intentas descargar Werkbit ahora mismo, ya no debería colarse de la misma manera.
Aunque ya sabemos como es esto... hasta la siguiente. Si algún día ves un CrashReporter que se descarga desde una web o llega dentro de un instalador, ahí hay un problema. La segunda es que si una app te pide la contraseña del sistema nada más abrirlo, sin que hayas ido tú a buscar esa opción en un menú, es motivo suficiente para cerrarlo y desconfiar. Por el momento tenemos un final feliz , con Apple parándole los pies a tiempo a este caso.
Pero cuanto más conozcamos cómo actúan estos hackers, más protegidos estaremos la próxima vez que alguien intente colar un mismo truco similar, pero con otro nombre. Fuente | Jamf Threat Labs En Applesfera | Los 10 mejores antivirus para tu Mac, tanto gratis como de pago En Applesfera | Nuevo macOS 27 Golden Gate: fecha de lanzamiento, novedades, Mac compatibles y más información