CrashStealer Buru Pengguna macOS

Image credit: Magnific

CrashStealer Buru Pengguna macOS – Selama bertahun-tahun, sistem operasi macOS dikenal sebagai salah satu platform yang relatif lebih aman dibandingkan sistem operasi lainnya.

Namun, meningkatnya jumlah pengguna perangkat Apple juga menjadikannya sasaran yang semakin menarik bagi pelaku kejahatan siber.

Tren tersebut kembali terlihat melalui kemunculan CrashStealer, sebuah malware pencuri informasi (information stealer) yang dirancang khusus untuk perangkat macOS dengan teknik penyamaran yang sangat meyakinkan.

Peneliti keamanan siber mulai melacak keberadaan CrashStealer sejak Mei 2026 ketika malware tersebut masih berada dalam tahap pengembangan.

Dalam beberapa minggu berikutnya, para peneliti mengamati bahwa malware ini telah digunakan dalam serangan nyata yang menargetkan pengguna macOS.

Berbeda dengan banyak malware lainnya, CrashStealer tidak hanya berupaya mencuri kata sandi, tetapi juga:

  • Mengincar data Keychain milik Apple.
  • Kredensial browser.
  • Dompet mata uang kripto.
  • Hingga berbagai file penting yang tersimpan pada perangkat korban.

Menyamar Sebagai Komponen Resmi macOS

Salah satu keunggulan CrashStealer dibandingkan malware sejenis adalah kemampuannya menyamar sebagai komponen resmi sistem operasi Apple.

Malware ini menggunakan nama CrashReporter.app, yang sangat mirip dengan aplikasi bawaan macOS untuk melaporkan gangguan atau kerusakan sistem kepada Apple.

Tidak berhenti pada nama aplikasi, CrashStealer juga menggunakan ikon, metadata, serta membuat layanan LaunchAgent bernama com.apple.crashreporter.helper agar terlihat seperti bagian dari sistem operasi yang sah.

Teknik ini bertujuan mengurangi kecurigaan pengguna sekaligus meningkatkan peluang malware bertahan lebih lama di dalam sistem.

Yang lebih mengkhawatirkan, peneliti dari Jamf menemukan bahwa malware ini didistribusikan melalui installer bernama Werkbit Setup yang telah ditandatangani secara digital (digitally signed) dan bahkan dinotariskan (Apple Notarized) oleh Apple.

Kondisi tersebut memungkinkan malware melewati mekanisme Gatekeeper, yaitu fitur keamanan bawaan macOS yang dirancang untuk mencegah aplikasi berbahaya dijalankan pada perangkat pengguna.

Akibatnya, pengguna tidak menerima peringatan keamanan sebagaimana yang biasanya muncul ketika menjalankan aplikasi yang tidak dikenal.

Baca juga: Aplikasi Konferensi Video Pencuri Informasi

Memanfaatkan Kepercayaan Pengguna

Setelah berhasil dijalankan, CrashStealer akan menampilkan jendela permintaan kata sandi macOS yang tampilannya sangat menyerupai dialog autentikasi resmi Apple.

Bagi sebagian besar pengguna, tampilan tersebut terlihat normal karena macOS memang sering meminta password administrator ketika pengguna melakukan perubahan konfigurasi atau menginstal perangkat lunak tertentu.

Apabila pengguna memasukkan password tersebut, malware akan melakukan validasi secara lokal menggunakan utilitas bawaan macOS bernama dscl (Directory Service Command Line).

Jika password yang dimasukkan salah, malware akan menampilkan pesan kesalahan autentikasi dan meminta pengguna memasukkannya kembali, sehingga proses ini terlihat seperti mekanisme autentikasi yang sah.

Password administrator yang berhasil diperoleh memberikan akses terhadap Apple Keychain, yaitu tempat penyimpanan berbagai informasi sensitif yang telah dienkripsi oleh sistem operasi.

Di dalam Keychain biasanya tersimpan berbagai data penting, seperti kredensial login situs web, password jaringan Wi-Fi, password aplikasi, sertifikat digital, token autentikasi, hingga kunci kriptografi pribadi.

Dengan menguasai Keychain, pelaku memperoleh akses ke banyak informasi yang dapat digunakan untuk mengambil alih akun maupun melakukan serangan lanjutan terhadap korban.

Targetkan Password Manager dan Dompet Kripto

Selain Apple Keychain, CrashStealer memiliki kemampuan mencuri berbagai data penting dari aplikasi dan browser yang umum digunakan.

Fokus utama malware ini tampaknya adalah memperoleh kredensial digital yang bernilai tinggi, terutama yang berkaitan dengan pengelolaan identitas dan aset kripto.

Berdasarkan hasil analisis Jamf, malware ini diketahui mampu mencuri data dari berbagai sumber, di antaranya:

  • Kredensial login dan cookie dari browser berbasis Chromium maupun Mozilla Firefox.
  • Lebih dari 80 ekstensi dompet mata uang kripto, termasuk MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Exodus, Keplr, Rabby, dan Solflare.
  • Sedikitnya 14 aplikasi password manager, seperti 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass, dan RoboForm.
  • Berbagai dokumen pengguna yang tersimpan pada folder Documents dan Downloads, dengan sengaja mengabaikan file multimedia berukuran besar, installer aplikasi, maupun direktori sistem agar proses pencurian berlangsung lebih cepat dan tidak mencolok.

Target-target tersebut menunjukkan bahwa pelaku lebih mengutamakan data yang memiliki nilai ekonomi tinggi atau dapat dimanfaatkan untuk melakukan kompromi terhadap akun-akun penting milik korban.

Baca juga: Sha1-Hulud Hapus Data dan Curi Kredensial

Menggunakan Teknik Enkripsi yang Tidak Biasa

Salah satu karakteristik menarik dari CrashStealer adalah cara malware ini mengamankan data hasil curiannya sebelum dikirim kepada pelaku.

Berbeda dengan banyak malware pencuri informasi lainnya, CrashStealer terlebih dahulu mengenkripsi seluruh data menggunakan algoritma AES-256-GCM.

Algoritma AES-256-GCM adalah salah satu standar enkripsi modern yang dikenal memiliki tingkat keamanan sangat tinggi.

Setelah dienkripsi, seluruh data dikompresi ke dalam arsip ZIP tersembunyi sebelum akhirnya dikirim ke server Command and Control (C2) menggunakan pustaka libcurl.

Pendekatan ini memberikan beberapa keuntungan bagi pelaku, yakni

  • Membantu menjaga kerahasiaan data yang dicuri apabila lalu lintas jaringan berhasil dipantau.
  • Penggunaan enkripsi juga dapat menyulitkan proses analisis forensik terhadap isi paket data yang dikirimkan keluar dari perangkat korban.

Menurut peneliti, teknik enkripsi di sisi klien seperti ini masih relatif jarang ditemukan pada malware pencuri informasi yang menargetkan macOS.

Dirancang untuk Bertahan Lebih Lama

Peneliti juga menemukan bahwa CrashStealer memiliki mekanisme yang memungkinkan malware melakukan re-signing terhadap dirinya sendiri setelah berhasil dijalankan.

Melalui proses tersebut, data tanda tangan digital pada berkas malware akan ditulis ulang sehingga menghasilkan nilai hash yang berbeda meskipun isi kode program tidak mengalami perubahan.

Teknik ini dapat menyulitkan deteksi yang hanya mengandalkan pencocokan hash file, karena setiap salinan malware dapat memiliki identitas digital yang berbeda.

Selain itu, infrastruktur distribusi malware ini juga dirancang secara selektif. Situs yang digunakan untuk mengunduh installer diketahui merupakan situs perangkat lunak palsu yang baru didaftarkan pada akhir Juni.

Menariknya, akses untuk mengunduh malware hanya diberikan kepada pengunjung yang memasukkan Meeting PIN tertentu.

Hal ini menunjukkan bahwa kampanye tersebut kemungkinan hanya ditujukan kepada target-target tertentu dan bukan penyebaran massal seperti malware pada umumnya.

Baca juga: SIM Farm Industri Pencurian Kredensial

Mengapa Ancaman Ini Perlu Diwaspadai?

Kemunculan CrashStealer menjadi pengingat bahwa pengguna macOS tidak lagi dapat mengandalkan asumsi bahwa perangkat Apple selalu aman dari malware.

Ini dikarenakan:

  • Teknik penyamaran yang semakin canggih.
  • Penggunaan installer yang telah ditandatangani dan dinotariskan.
  • Kemampuan mencuri berbagai jenis kredensial.

hal tersebut menjadikan malware ini sebagai ancaman serius, baik bagi pengguna individu maupun lingkungan perusahaan.

Bagi organisasi, kompromi terhadap satu akun saja dapat membuka jalan bagi serangan yang lebih besar, termasuk pencurian data perusahaan, pengambilalihan akun cloud, hingga penyalahgunaan akses terhadap sistem internal.

Untuk mengurangi risiko serangan serupa, pengguna disarankan untuk:

  • Selalu mengunduh aplikasi hanya dari sumber resmi.
  • Memperhatikan setiap permintaan password administrator yang muncul secara tiba-tiba.
  • Mengaktifkan autentikasi multifaktor (MFA) pada seluruh akun penting.
  • Serta memastikan solusi keamanan endpoint mampu mendeteksi aktivitas mencurigakan yang terjadi pada perangkat macOS.

Keamanan dan Kewaspadaan

CrashStealer menunjukkan bahwa pelaku kejahatan siber terus meningkatkan kemampuan mereka dalam menyusup ke lingkungan macOS dengan memanfaatkan teknik penyamaran yang semakin sulit dikenali.

Tidak hanya mengandalkan rekayasa sosial, malware ini juga memanfaatkan installer yang telah memperoleh notarisasi Apple, menggunakan enkripsi modern untuk melindungi data hasil curian, serta menerapkan mekanisme yang menyulitkan proses deteksi.

Perkembangan tersebut menjadi bukti bahwa keamanan perangkat tidak hanya bergantung pada sistem operasi yang digunakan, tetapi juga pada kewaspadaan pengguna dan penerapan praktik keamanan siber yang baik.

Mengombinasikan teknologi perlindungan yang memadai dengan edukasi keamanan bagi pengguna merupakan langkah penting untuk menghadapi ancaman malware yang semakin canggih dan terus berevolusi.

 

 

 

 

Baca artikel lainnya: 

 

 

 

Sumber berita:

 

WeLiveSecurity