Mã độc này nhắm vào hơn 80 tiện ích mở rộng ví tiền điện tử và 14 trình quản lý mật khẩu như 1Password, LastPass và Dashlane. Nó còn tìm kiếm thông tin giá trị trong các thư mục Documents và Downloads.
CrashStealer thu thập dữ liệu trình duyệt, dữ liệu từ các trình quản lý mật khẩu, các tiện ích mở rộng ví tiền điện tử và dữ liệu trong Keychain.
Jamf lần đầu phát hiện mã độc này xuất hiện trong một ứng dụng giả mạo đã được Apple chứng thực có tên Werkbit. Nhờ được chứng thực (notarization), mã độc này không bị Gatekeeper - một phần của hệ thống bảo mật macOS - ngăn chặn.
Ứng dụng này trông rất hợp pháp và sử dụng quy trình cài đặt điển hình của phần mềm tải về từ web trên macOS, với các bước được mô tả chi tiết trên trang web của Jamf.
Một ứng dụng CrashReporter.app giả mạo được tải về thông qua Werkbit, nhằm đánh lừa người dùng rằng đây là công cụ báo cáo sự cố chính hãng của Apple. Người dùng khi nhấp vào ứng dụng này có thể dễ dàng nhầm tưởng đây là tiện ích hợp pháp của Apple.
CrashStealer yêu cầu quyền truy cập toàn bộ ổ đĩa “cho mục đích quản trị hệ thống” và sử dụng cửa sổ nhập mật khẩu gốc trông giống hệt yêu cầu xác thực của macOS.
Mật khẩu mà người dùng nhập vào sẽ được sử dụng để truy cập vào Keychain đăng nhập. Dữ liệu thu thập được sẽ được mã hóa bằng AES–256-GCM thông qua CommonCrypto của Apple và gửi đến địa chỉ IP của kẻ tấn công.
Jamf nhận định cách CrashStealer được triển khai “cho thấy sự tinh vi thực sự”, với các bước che giấu khiến nó khác biệt so với các mã độc đánh cắp thông tin thông thường. Mã độc này đã được báo cáo cho Apple sau khi bị phát hiện lần đầu vào tháng 5 và tiếp tục được ghi nhận hoạt động vào tháng 7.
Apple đã thu hồi chứng chỉ ký ứng dụng của Werkbit, do đó phương thức tấn công cụ thể mà Jamf nêu ra đã bị vô hiệu hóa, nhưng mã độc này vẫn có thể xuất hiện trở lại. Phiên bản gốc của CrashStealer còn yêu cầu mã PIN khi cài đặt, cho thấy nó nhắm vào những đối tượng cụ thể.
Hệ thống chứng thực ứng dụng của Apple nhằm bảo vệ người dùng Mac khỏi phần mềm độc hại, và Apple khẳng định các ứng dụng đã được chứng thực đều được kiểm tra thành phần độc hại. Tuy nhiên, CrashStealer cho thấy vẫn còn những cách để che giấu mã độc khỏi quy trình bảo mật của Apple.
Khi tải phần mềm, người dùng có thể tự bảo vệ mình khỏi CrashStealer bằng cách lưu ý rằng công cụ báo cáo sự cố của Apple đã được tích hợp sẵn trong hệ thống. Bất kỳ phần mềm nào yêu cầu tải về CrashReporter đều là dấu hiệu đáng ngờ, cũng như các ứng dụng yêu cầu nhập mật khẩu hệ thống ngay khi khởi động.