En bref

  • CrashStealer est un nouveau malware macOS signé et notarisé par Apple qui se fait passer pour l'outil natif de rapport de plantage du système.
  • Il cible les mots de passe enregistrés dans les navigateurs, le trousseau macOS, environ 80 extensions de wallets crypto et 14 gestionnaires de mots de passe.
  • Découvert par Jamf Threat Labs, il est actif in-the-wild depuis début juillet 2026 et utilise le chiffrement AES-256-GCM pour exfiltrer les données volées.

CrashStealer : anatomie d'un infostealer macOS de nouvelle génération

Les équipes de Jamf Threat Labs ont publié le 13 juillet 2026 une analyse technique détaillée d'un nouvel infostealer macOS qu'elles ont baptisé CrashStealer. Contrairement à la majorité des stealers macOS observés ces dernières années, qui s'appuient sur des scripts AppleScript ou de simples wrappers Objective-C, CrashStealer est entièrement écrit en C++ natif, avec une architecture interne organisée autour d'une classe centrale nommée MacOSData. Cette sophistication technique témoigne d'un investissement significatif de ses auteurs et suggère une opération à vocation commerciale ou ciblée, bien loin des outils de niveau débutant disponibles sur les forums clandestins.

Le premier échantillon suspect a été repéré par Jamf Threat Labs début mai 2026. Les premières détections in-the-wild — c'est-à-dire sur de véritables systèmes compromis — ont commencé à apparaître début juillet 2026, indiquant que le malware a franchi le cap du développement actif pour entrer en phase opérationnelle. La rapidité de cette transition, environ deux mois, laisse penser que le développeur a procédé à des phases de test intensives avant de déployer le payload à grande échelle, selon les chercheurs de Jamf qui ont suivi l'évolution de la menace depuis sa première apparition.

L'un des aspects les plus préoccupants de CrashStealer est sa capacité à avoir obtenu une signature et une notarisation d'Apple. La notarisation est le processus par lequel Apple vérifie qu'une application ne contient pas de malware connu avant de lui délivrer un certificat de confiance, permettant son exécution sans alerte Gatekeeper sur macOS. CrashStealer a été notarisé sous le Developer ID Emil Grigorov (WWB7JA7AQV) avec le bundle identifier dev.golove.velto, probablement en soumettant une version initiale non malveillante avant d'ajouter les fonctionnalités malveillantes dans une mise à jour ultérieure. Apple a depuis révoqué la notarisation, mais l'incident illustre une nouvelle fois les limites du modèle de sécurité basé exclusivement sur la notarisation comme garantie de confiance.

La distribution initiale s'effectue via une image disque nommée « Werkbit Setup », provenant du domaine werkbit[.]io. Ce domaine a été enregistré à la fin du mois de juin 2026, soit très peu de temps avant les premières détections in-the-wild, ce qui correspond à un schéma classique d'infrastructure éphémère utilisée par les opérateurs de malware pour éviter les blocages basés sur la réputation de domaine. Lors de la première exécution, le dropper contacte le dépôt GitHub mgothiclove/pkeys pour récupérer des configurations ou des composants supplémentaires, puis établit une communication avec le serveur de commande et contrôle endpoint-api-v1[.]com pour exfiltrer les données collectées.

Les données ciblées par CrashStealer couvrent un spectre particulièrement large. Sur le front des navigateurs, il exfiltre l'ensemble des profils Chromium (Chrome, Brave, Edge, Opera et leurs variantes) ainsi que les données de connexion Firefox, incluant les mots de passe enregistrés, les cookies de session et les données de formulaires. CrashStealer cible également le trousseau macOS (Keychain), qui contient les mots de passe WiFi, les certificats, les clés privées et les identifiants stockés par les applications natives, représentant potentiellement l'intégralité des secrets numériques d'un utilisateur.

La dimension cryptographique est particulièrement développée : CrashStealer supporte environ 80 extensions de wallets crypto pour navigateurs, dont MetaMask, Phantom, Coinbase Wallet, Trust Wallet et Exodus, qui sont parmi les plus répandues dans l'écosystème Web3 et DeFi. Pour les gestionnaires de mots de passe dédiés, il cible 14 solutions distinctes, parmi lesquelles 1Password, Bitwarden, LastPass, Dashlane et Keeper. Cette couverture quasi-exhaustive des vecteurs de stockage de credentials en fait l'un des stealers macOS les plus complets jamais analysés publiquement.

Techniquement, les données volées sont chiffrées avec l'algorithme AES-256-GCM, un standard de chiffrement authentifié qui protège à la fois la confidentialité et l'intégrité des données lors de l'exfiltration vers le serveur des attaquants. Les fichiers chiffrés sont compressés dans des archives ZIP masquées, puis envoyés au serveur C2 via libcurl, la bibliothèque de transfert réseau standard intégrée dans macOS. L'utilisation de libcurl plutôt qu'une implémentation réseau maison rend le trafic d'exfiltration plus difficile à distinguer du trafic légitime dans les journaux réseau des solutions de supervision.

Pour assurer sa persistance sur le système, CrashStealer se copie vers un emplacement différent sur le disque et applique une nouvelle signature ad hoc à la copie, contournant ainsi les contrôles de signature basés sur le binaire original. Il installe ensuite la copie en tant que LaunchAgent sous le nom « com.apple.crashreporter.helper », un nom délibérément conçu pour se confondre avec les processus système légitimes d'Apple dans la liste des processus actifs. Ce LaunchAgent est exécuté automatiquement à chaque connexion de l'utilisateur, garantissant la résilience du malware aux redémarrages et sa présence discrète sur le long terme.

Pourquoi CrashStealer marque une évolution préoccupante des menaces macOS

La communauté de la sécurité a longtemps considéré macOS comme une plateforme relativement épargnée par les menaces de type infostealer. Cette perception a évolué radicalement depuis 2023 avec l'émergence de familles comme AMOS (Atomic Stealer), Banshee, Poseidon et maintenant CrashStealer. Ce dernier représente cependant un saut qualitatif notable par rapport à ses prédécesseurs. Son implémentation en C++ natif, son niveau de sophistication technique et son exploitation réussie du processus de notarisation Apple placent CrashStealer dans une catégorie supérieure aux stealers macOS commodity généralement disponibles en tant que malware-as-a-service sur les forums clandestins.

L'exploitation de la notarisation Apple mérite une attention particulière. Le processus de notarisation, introduit par Apple en 2019, était censé constituer une barrière supplémentaire contre les malwares macOS en permettant au système d'identifier et de bloquer les applications provenant de développeurs non fiables. CrashStealer a contourné cette barrière, probablement en soumettant une version initiale bénigne pour obtenir la notarisation, avant d'ajouter les fonctionnalités malveillantes. Cette technique, connue sous le nom de « notarization bypass via versioning », est de plus en plus documentée et pose des questions fondamentales sur la suffisance du modèle de sécurité basé sur la seule notarisation pour protéger les utilisateurs macOS.

La concentration sur les wallets crypto dans l'arsenal de CrashStealer reflète une tendance de fond dans l'écosystème des stealers en 2026 : les actifs numériques représentent des cibles particulièrement attractives pour les attaquants en raison de l'irréversibilité des transactions blockchain. Contrairement à un virement bancaire frauduleux qui peut parfois être annulé, le vol de fonds depuis un wallet crypto est dans la quasi-totalité des cas définitif. La combinaison wallets crypto et gestionnaires de mots de passe suggère une stratégie à double rendement : compromettre les actifs financiers immédiats tout en récoltant les credentials nécessaires à des intrusions ultérieures sur d'autres services.

Pour les équipes de sécurité, CrashStealer illustre la nécessité d'une approche défense en profondeur même sur macOS. Les solutions de détection et réponse aux endpoints (EDR) compatibles macOS, une gestion rigoureuse des LaunchAgents, une surveillance des connexions réseau sortantes inhabituelles, et une sensibilisation des utilisateurs aux risques liés aux applications non distribuées via le Mac App Store sont les mesures préventives les plus efficaces. Les utilisateurs détenant des actifs crypto significatifs devraient envisager l'utilisation de hardware wallets physiques plutôt que d'extensions de navigateur, dont CrashStealer démontre une nouvelle fois la vulnérabilité structurelle face à des attaquants déterminés.

Ce qu'il faut retenir

  • CrashStealer est actif in-the-wild depuis début juillet 2026 et cible navigateurs, trousseau macOS, 80 wallets crypto et 14 gestionnaires de mots de passe via une fausse image disque « Werkbit Setup ».
  • Sa notarisation Apple initiale (depuis révoquée) lui permettait de contourner Gatekeeper ; maintenez macOS et vos logiciels à jour et déployez une solution EDR adaptée à macOS dans vos environnements professionnels.
  • Tout logiciel macOS obtenu hors du Mac App Store ou d'un développeur vérifié doit être traité avec la plus grande méfiance ; les détenteurs de crypto doivent migrer leurs actifs vers des hardware wallets physiques.

Comment vérifier si CrashStealer est présent sur mon Mac ?

Recherchez la présence d'un LaunchAgent nommé « com.apple.crashreporter.helper » dans ~/Library/LaunchAgents/ — ce nom imite un processus Apple légitime mais n'est pas natif au système. Vérifiez également la liste des applications récemment installées dans « Informations Système » et recherchez tout processus inconnu dans le Moniteur d'activité. Les solutions de sécurité macOS comme Malwarebytes, Jamf Protect ou SentinelOne détectent CrashStealer depuis la publication de l'analyse de Jamf Threat Labs le 13 juillet 2026. Si vous avez installé « Werkbit » ou tout logiciel provenant du domaine werkbit[.]io, considérez votre système comme potentiellement compromis et changez immédiatement tous vos mots de passe depuis un appareil sain.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact