← Alertas
Malware Alto Activa

Una app de videollamada falsa, firmada por Apple, instala un ladrón de contraseñas en computadoras Mac

Investigadores identificaron un programa malicioso para macOS, conocido como CrashStealer, que se distribuye como una supuesta app de videollamadas y logra pasar el control de seguridad de Apple (Gatekeeper) gracias a un certificado de desarrollador válido. Roba contraseñas guardadas en el navegador, gestores de contraseñas, el llavero del sistema y billeteras de criptomonedas. Afecta a cualquier persona u organización con equipos Mac que instale aplicaciones fuera de la Mac App Store.

2026-07-13 · The Hacker News

Qué ocurrió

Investigadores de seguridad identificaron un programa malicioso para macOS que roba información, conocido como CrashStealer, distribuido a través de un sitio que ofrece una supuesta aplicación de videollamadas. El acceso a la descarga está protegido con un código, lo que reduce su exposición pero también dificulta detectarlo. Lo distintivo del caso es que el instalador está firmado y notarizado por Apple con un certificado de desarrollador válido, por lo que pasa el control de seguridad que revisa el origen de las aplicaciones (Gatekeeper) sin mostrar advertencias, algo que normalmente da confianza a quien lo instala. Una vez dentro del equipo, el programa roba contraseñas guardadas en varios navegadores, en gestores de contraseñas y en el llavero del sistema, además de datos de decenas de billeteras de criptomonedas.

Quién está expuesto

Cualquier persona u organización con equipos Mac que instale aplicaciones fuera de la Mac App Store, especialmente si llegaron por un enlace de videollamada o reunión recibido por correo o mensaje.

A considerar

Que el programa esté firmado y notarizado por Apple no garantiza que sea seguro: ese control confirma la identidad del desarrollador, no revisa lo que hace el programa una vez instalado. Antes de abrir cualquier aplicación descargada fuera de la Mac App Store conviene confirmar por otro medio que el enlace de la reunión es legítimo.

Impacto potencial

Si el equipo fue infectado, las contraseñas guardadas, el acceso a billeteras de criptomonedas y otras credenciales quedan en manos del atacante, quien puede usarlas para vaciar cuentas, tomar control de otros servicios o suplantar identidad.

Leer fuente original →