CrashStealer: Nuevo malware para macOS que evade Gatekeeper

Para asegurar que su presencia no sea eliminada tras el primer reinicio o detectada por herramientas de análisis forense, CrashStealer implementa técnicas de persistencia sumamente avanzadas. Tras finalizar la fase de recolección de datos, el malware realiza copias de sí mismo en directorios ocultos del sistema.
No obstante, la táctica más alarmante es su capacidad de re-firmado dinámico de binarios en tiempo de ejecución. El malware reescribe de manera autónoma los metadatos de su firma de código en el archivo ejecutable. Este proceso altera directamente el hash criptográfico del archivo (como el SHA-256), a pesar de que el código operativo permanece intacto. Al cambiar dinámicamente su huella digital criptográfica, CrashStealer neutraliza los sistemas de detección basados en firmas estáticas (como las listas negras de hashes) y confunde a los analistas de seguridad que intenten rastrear el archivo en la red corporativa.
Adicionalmente, la protección de los datos robados es de nivel militar. Antes de abandonar el dispositivo, la información no se almacena en texto plano en la carpeta temporal. CrashStealer cifra cada lote de datos individualmente utilizando el algoritmo simétrico de cifrado autenticado AES-GCM, guardándolos bajo la extensión genérica .cache. Esta medida evita que las herramientas de prevención de pérdida de datos (DLP) en el endpoint detecten la estructura de la información comprometida
Escrito por
TempMail Ninja
Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.


