
Para peneliti keamanan siber baru saja menemukan jenis malware pencuri informasi (info stealer) baru untuk macOS yang diberi nama CrashStealer. Berbeda dari malware macOS lain yang umumnya dibangun berbasis AppleScript atau Objective-C, CrashStealer ditulis dalam bahasa pemrograman C++ native, menjadikannya lebih sulit dideteksi oleh solusi keamanan konvensional.
Apa yang Terjadi?
CashStealer didistribusikan melalui dropper yang telah ditandatangani dan di-notarize oleh Apple, yang berarti ia bisa melewati pemeriksaan Gatekeeper macOS tanpa peringatan. File disk image yang digunakan bernama “Werkbit.app” dan membawa developer ID yang valid bernama “Emil Grigorov.”
Yang membuat malware ini berbahaya adalah caranya bekerja:
- Memvalidasi kata sandi login korban secara lokal sebelum mengumpulkan data
- Mengumpulkan data secara luas dari browser, wallet cryptocurrency, password manager, dan keychain
- Mengenkripsi data curian dengan AES-GCM sebelum mengeksfiltrasi via libcurl
- Bertahan di sistem dengan menyalin ulang dan menandatangani ulang dirinya sendiri
Detil Teknis
CashStealer merupakan evolusi signifikan dari malware macOS. Pencurian data mencakup:
- Kredensial dan cookie dari semua browser utama
- Data wallet cryptocurrency (MetaMask, Phantom, dan lainnya)
- Password yang tersimpan di password manager
- Seluruh isi keychain macOS
Penulis malware menggunakan C++ native bukan tanpa alasan — pendekatan ini memungkinkan eksekusi kode yang lebih cepat dan sulit di-analisis oleh tool keamanan berbasis signature. Setelah proses pencurian selesai, malware menyalin dirinya ke lokasi baru dan menandatangani ulang dengan certificate yang sah, memastikan ia tetap tidak terdeteksi di setiap restart sistem.
Dampak terhadap Indonesia
Pengguna Mac di Indonesia, terutama kalangan profesional kreatif, developer, dan eksekutif, merupakan target potensial. Banyak dari mereka menyimpan data keuangan sensitif dan kredensial penting di perangkat macOS mereka. Serangan ini menunjukkan bahwa ekosistem Apple tidak kebal terhadap ancaman malware, terutama ketika attacker berhasil mendapatkan certificate yang valid.
Rekomendasi Mitigasi
- Hindari unduhan dari sumber tidak dikenal: Jangan menginstal aplikasi dari luar App Store tanpa verifikasi menyeluruh
- Periksa certificate aplikasi: Gunakan
spctl --assessuntuk memverifikasi status notarisasi - Gunakan MDM: Implementasikan Mobile Device Management untuk mengontrol instalasi aplikasi
- Update rutin: Pastikan macOS dan semua aplikasi selalu versi terbaru
- EDR untuk Mac: Pertimbangkan penggunaan endpoint detection and response yang mendukung macOS
“CrashStealer memvalidasi kata sandi login korban secara lokal sebelum pencurian, mengumpulkan data secara luas dari browser, wallet kripto, password manager, dan keychain, mengenkripsi hasil curian dengan AES-GCM, dan bertahan dengan menyalin serta menandatangani ulang dirinya sendiri,” jelas Thijs Xhaflaire dari Jamf Threat Labs.
Sumber: BleepingComputer | The Hacker News