Jamf zufolge wird CrashStealer über einen ersten Downloader verbreitet, der als „Werkbit Setup“ auftritt. Der Installer ist signiert und von Apple notariell bestätigt, was den Start auf macOS ohne Gatekeeper-Warnung ermöglicht. Details zur genauen anfänglichen Verbreitung nannte Jamf nicht, weist aber darauf hin, dass die erste Stufe auf einer gefälschten Software-Seite gehostet wird, die erst kürzlich registriert wurde.

Der Zugriff auf den Download ist nach Angaben der Forscher durch eine Meeting-PIN geschützt. Das deutet auf eine begrenzte Kampagne hin, bei der nur Besucher mit dem passenden Code an die Nutzlast gelangen. Jamf beschreibt die Operation insgesamt als sorgfältig auf Heimlichkeit ausgelegt: mit einem signierten und notariell bestätigten Dropper sowie einer Nutzlast, die sich zur Persistenz selbst erneut signiert.

Nach dem Start zeigt CrashStealer eine gefälschte macOS-Passwortabfrage an. Nutzer sollen glauben, eine legitime Systemaktion mit Administratorrechten zu autorisieren. Das abgefragte Passwort kann den Schlüsselbund des Nutzers entsperren, also den verschlüsselten Passwortspeicher von macOS, in dem sich typischerweise Safari-Anmeldungen, WLAN-Passwörter, Anwendungskennwörter, private kryptografische Schlüssel, Zertifikate und Token befinden.

Wird ein Passwort eingegeben, prüft die Malware es lokal mit „dscl“, dem Befehlszeilenwerkzeug des Directory Service. Ist das Kennwort falsch, meldet CrashStealer einen Authentifizierungsfehler und fordert zur erneuten Eingabe auf. Neben Schlüsselbund-Daten zielt die Schadsoftware laut Jamf auch auf Daten aus Passwortmanagern und auf mehr als 80 Erweiterungen für Krypto-Wallets.

Vor der Exfiltration verschlüsselt CrashStealer die erbeuteten Daten mit AES-256-GCM. Jamf bezeichnet das als für diesen Einsatzzweck ungewöhnlich starke Methode. Anschließend verpackt die Malware die Daten in versteckte ZIP-Archive und lädt die komprimierten Pakete mit libcurl auf den Command-and-Control-Server hoch.

Nach Einschätzung von Jamf überschneidet sich das Ziel von CrashStealer zwar mit anderen Infostealer-Familien wie Atomic, MacSync und Phexia. Unterscheiden soll sich die neue Malware aber durch die clientseitige Verschlüsselung und ihre native C++-Implementierung.

Auch bei der Tarnung setzt CrashStealer auf mehrere Ebenen. Neben dem Namen „CrashReporter.app“ verwendet die Malware das Symbol und die Metadaten des legitimen Apple-Werkzeugs. Der zusätzliche LaunchAgent „com.apple.crashreporter.helper“ soll den Eindruck einer echten Systemkomponente weiter verstärken.

Das von Jamf beschriebene erneute Signieren dient dazu, die Code-Signaturdaten in der Binärdatei umzuschreiben. Dadurch erhält die Datei einen anderen Hash, obwohl der eigentliche Code unverändert bleibt. Im Bericht zu CrashStealer veröffentlicht Jamf zudem einen umfangreichen Satz an Kompromittierungsindikatoren, darunter Namen und Hashes der schädlichen Werkzeuge sowie Details zur Auslieferungsinfrastruktur und zu Artefakten im Dateisystem.