Nach Erkenntnissen von Jamf Threat Labs unterscheidet sich CrashStealer bereits beim Aufbau von vielen bekannten macOS-Infostealern. Während andere Familien auf AppleScript-Dropper oder auf Objective-C basierende Wrapper setzen, ist CrashStealer in nativem C++ geschrieben. Sicherheitsforscher Thijs Xhaflaire erklärte in einem Bericht, die Schadsoftware validiere das Login-Passwort des Opfers lokal, sammle breit Daten aus Browsern, Kryptowallets, Passwortmanagern und dem Schlüsselbund, verschlüssele die gesammelten Informationen mit AES-GCM vor der Exfiltration über libcurl und sorge für Persistenz, indem sie sich selbst kopiert und neu signiert.

Verteilt wird die Malware laut Jamf über einen signierten und von Apple notarisierten Dropper in Form eines Disk-Images namens „Werkbit.app“. Da sowohl das Disk-Image als auch die Binärdatei notariell bestätigt sind und eine gültige Entwicklerkennung „Emil Grigorov (WWB7JA7AQV)“ tragen, passieren sie die Gatekeeper-Prüfungen. Das Disk-Image stammt von der Domain „werkbit[.]io“, die laut dem Bericht im Juni 2026 registriert wurde.

Bemerkenswert ist auch der Verteilmechanismus: Der Download ist durch eine Meeting-PIN geschützt. Der Installer wird demnach nicht allgemein an alle Besucher der Website ausgeliefert, sondern nur an Nutzer, die mit dem richtigen Code auf die Seite gelangen. Jamf wertet zudem zusätzliche Domains und gemeinsam genutzte Backend-Infrastruktur als Hinweis darauf, dass CrashStealer zu einer größeren, plattformübergreifenden Kampagne gehört.

Wird das Disk-Image eingebunden, sieht der Nutzer einen Installationsbildschirm, der ihn anweist, die Anwendung per Rechtsklick und „Öffnen“ zu starten. Nach dem Start kontaktiert die ausführbare Datei „veltod“ ein GitHub-Repository unter „github.com/mgothiclove“, um die Datei „sys.cache“ abzurufen. Diese Datei dient anschließend dazu, einen curl-Befehl zu extrahieren und ein Shell-Skript nachzuladen.

Das Shell-Skript fungiert als Downloader für die nächste Stufe der Infektion. Es lädt den weiteren Payload „CrashReporter.dmg“ herunter, bereitet ihn vor und speichert ihn im Verzeichnis „/tmp“. Nach der Ausführung richtet die Malware Persistenz als LaunchAgent ein, erschwert Analysen, blendet eine Passwortabfrage ein und prüft die eingegebene Zugangsinformation lokal. Mit dem bestätigten Passwort entsperrt sie den Login-Schlüsselbund, listet installierte Sicherheits- und Analysewerkzeuge auf und beginnt dann mit dem Sammeln von Browserdaten, Erweiterungen für Kryptowallets, Passwortmanager-Daten und Schlüsselbund-Inhalten.

Die abgegriffenen Daten werden zu einem ZIP-Archiv gebündelt und an einen von den Angreifern kontrollierten Server unter „179.43.166[.]242“ exfiltriert. Jamf betont, die Lieferkette von CrashStealer zeige „spürbare Sorgfalt“: Statt eines einfachen, unsignierten Köders setzten die Betreiber auf einen signierten und notarisierten Dropper, der Gatekeeper übersteht, bevor er unauffällig den eigentlichen Payload nachlädt, neu signiert und startet.

Von der Masse gewöhnlicher Stealer hebt sich CrashStealer nach Einschätzung von Jamf weniger durch die Art der gesammelten Daten ab als durch seine Konstruktion. Genannt werden dabei insbesondere die clientseitige AES-GCM-Verschlüsselung der erbeuteten Dateien sowie Mechanismen zur Erschwerung von Analysen, darunter abgeflachte Kontrollflüsse, verschlüsselte Zeichenketten und mehrschichtige Anti-Debugging-Techniken.