Skip to content
[ root@retasan:~# Saturday, Jul 18, 2026 ]

> Retasan.id_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Exploit Development Malware Kebijakan Keamanan Cyberwarfare Tools Data Breach Video Iklan Catatan Pribadi
Malware

Infostealer macOS Gabungkan Database Wallet dan Keychain untuk Pencurian Kripto Offline

// by retasan-news July 16, 2026 4 min read

Infostealer berbasis macOS terdeteksi menggabungkan basis data wallet kripto yang dicuri dengan kredensial yang diambil dari Apple Keychain, browser, dan Apple Notes untuk melakukan pencurian kripto secara offline. Serangan ini menunjukkan evolusi teknik yang semakin canggih dalam eksploitasi ekosistem Apple.

APA YANG TERJADI?

Sistem pemantauan keamanan MistEye mendeteksi malware yang dirancang untuk pengumpulan data luas di macOS. Cakupan pengumpulannya mencakup file Apple Keychain, data browser Safari dan Chromium, sesi Telegram Desktop, Apple Notes, dan data lokal dari aplikasi wallet termasuk Electrum, Exodus, Atomic, Wasabi, Monero, Bitcoin Core, Ledger Live, dan Trezor Suite. Yang menjadikan serangan ini signifikan adalah pendekatan offline-nya: malware mengumpulkan database wallet terenkripsi bersama dengan materi pembuka kunci potensial, memungkinkan operator melakukan dekripsi tanpa interaksi dengan korban.

SlowMist mereproduksi alur kerja menggunakan data Atomic Wallet. Wallet LevelDB-nya dilindungi AES-256-CBC, memerlukan password wallet untuk mendekripsi konten sensitif. Peneliti memulihkan data wallet curian di lingkungan terisolasi dan menguji kandidat password dari Keychain, penyimpanan password browser, dan Apple Notes. Salah satu kandidat berhasil membuka materi yang mampu mengontrol aset wallet.

DETAIL TEKNIS

Malware ini menggunakan prompt administratif palsu yang menyamar sebagai pembaruan “Google API Connector” untuk menangkap password macOS korban. Credential yang dikirimkan divalidasi menggunakan utilitas autentikasi macOS dscl, membantu operator membedakan antara password login yang asli dan entri sembarang. Selain itu, malware mencoba mengambil rahasia Chrome Safe Storage dari macOS Keychain yang dapat digunakan untuk mendekripsi login dan cookie yang tersimpan di browser.

Untuk pengguna Ledger Live dan Trezor Suite, malware menambahkan jalur phishing langsung. Ia menghapus aplikasi wallet yang sah, kemudian men-deploy pengganti yang mirip menggunakan nama dan ikon yang sama. Analisis reverse engineering menunjukkan paket pengganti tersebut adalah WebView loader yang terhubung ke situs yang dikendalikan attacker, bukan perangkat lunak wallet asli. Halaman phishing ini dapat meminta recovery phrase, PIN, atau passphrase di bawah tampilan aplikasi desktop tepercaya.

Ancaman terpisah namun terkait dihadapi oleh akun Telegram. Stealer menyalin direktori tdata Telegram Desktop, termasuk file yang terkait dengan kunci enkripsi lokal dan status sesi terotentikasi. Dalam pengujian laboratorium SlowMist, memulihkan file-file ini pada Mac yang kompatibel langsung memulihkan sesi akun korban tanpa memerlukan nomor telepon, kode SMS, atau kata sandi verifikasi dua langkah Telegram.

DAMPAK TERHADAP INDONESIA

Indonesia memiliki komunitas kripto yang berkembang pesat, dengan estimasi jutaan pengguna yang aktif melakukan trading dan holding aset digital. Ancaman infostealer seperti ini sangat relevan karena banyak pengguna kripto Indonesia yang menggunakan perangkat macOS untuk mengelola wallet mereka. PDP Law mengharuskan organisasi yang memproses data pribadi warga Indonesia untuk menerapkan langkah keamanan yang memadai, termasuk perusahaan fintech dan exchange kripto. BSSN dan Kementerian Kominfo perlu meningkatkan awareness tentang ancaman infostealer terhadap pengguna kripto di Indonesia, termasuk edukasi tentang bahaya penyimpanan kredensial wallet di browser dan Keychain. Selain itu, insiden ini menegaskan pentingnya keamanan endpoint dalam ekosistem keuangan digital Indonesia.

REKOMENDASI MITIGASI

Pengguna macOS yang menyimpan aset kripto harus menghindari penyimpanan password wallet di browser atau Keychain, dan menggunakan hardware wallet dengan PIN yang kuat. Aktifkan autentikasi dua langkah pada semua akun terkait, termasuk Telegram dan email. Selalu verifikasi keaslian aplikasi wallet sebelum menginstal, dan gunakan MFA pada semua layanan pertukaran kripto. Organisasi harus menerapkan endpoint protection yang mampu mendeteksi infostealer macOS, membatasi instalasi aplikasi yang tidak sah, dan memantau aktivitas Keychain secara proaktif. Pertahankan recovery phrase dan private key offline dalam kondisi terenkripsi.

Analisa Retasan

Mekanisme serangan ini menunjukkan pemahaman mendalam tentang ekosistem keamanan macOS. Dengan menggabungkan pencurian database wallet terenkripsi dan kredensial pembuka kunci dari berbagai sumber (Keychain, browser, Notes), malware ini menciptakan chain serangan offline yang mengeliminasi kebutuhan interaksi real-time dengan korban. Teknik ini mirip dengan tren infostealer macOS yang terus berkembang sejak ditemukannya Atomic Stealer (AMOS) pada tahun 2024, namun dengan peningkatan signifikan dalam kemampuan pengumpulan data dan anti-analisis. Penggunaan validasi dscl untuk memverifikasi password macOS menunjukkan investasi dalam evasi yang memastikan hanya kredensial valid yang dikirim ke C2 server.

Pendekatan phishing wallet yang mengganti aplikasi sah dengan WebView loader menunjukkan evolusi teknik yang mengkhawatirkan. Alih-alih hanya mencuri kredensial, malware ini menciptakan pengalaman pengguna yang sepenuhnya palsu namun tampak meyakinkan. Hal ini mengingatkan pada serangan drain wallet seperti those yang dilakukan oleh grup Lazarus yang menargetkan pengguna kripto melalui aplikasi desktop palsu. Kemampuan Telegram session reuse tanpa perlu SMS 2FA juga merupakan vector serangan yang sering diabaikan, mengingat banyak komunitas kripto Indonesia aktif menggunakan Telegram untuk komunikasi dan koordinasi trading.

Dari sudut pandang keamanan siber Indonesia, serangan ini menjadi peringatan bahwa ekonomi digital yang berkembang pesat membawa risiko baru yang harus diantisipasi. Dengan adopsi cryptocurrency yang meningkat di Indonesia meskipun ada regulasi dari Bappebti, pengguna lokal perlu diedukasi tentang risiko spesifik infostealer. BSSN dan Kementerian Kominfo dapat memanfaatkan insiden ini untuk kampanye kesadaran keamanan siber yang difokuskan pada praktik keamanan kripto yang aman, termasuk penggunaan hardware wallet, verifikasi integritas aplikasi, dan isolasi kredensial wallet dari penyimpanan sistem operasi.

Sumber: GBHackers – Hackers Pair Stolen Wallet Databases With Keychain Passwords

Tags: Cryptocurrency Infostealer Keychain macOS
Share:

retasan-news

← Previous Claude Code dan DeepSeek Pacu Kampanye Spionase Siber China yang Didukung AI
Next → UAT-11795 Deploy Starland RAT dan WLDR C2 Implant dalam Kampanye Bertarget Kripto

Artikel Terkait

GoldenEyeDog dan DigiCert: Sertifikat Code-Signing Dicuri untuk Tanda Malware

GoldenEyeDog dan DigiCert: Sertifikat Code-Signing Dicuri untuk Tanda Malware

July 17, 2026
NadMesh Botnet: Serangan AI-Powered Mengincar Layanan Cloud dan Kubernetes Tokens

NadMesh Botnet: Serangan AI-Powered Mengincar Layanan Cloud dan Kubernetes Tokens

July 17, 2026
TuxBot v3: Botnet IoT yang Dibangun Menggunakan AI, Bug dan Disclaimer Ikut Terbawa

TuxBot v3: Botnet IoT yang Dibangun Menggunakan AI, Bug dan Disclaimer Ikut Terbawa

July 17, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.