Malware Baru CrashStealer Menyamar sebagai Laporan Crash Apple untuk Mencuri Password dan Dompet Kripto

Peneliti keamanan menemukan malware pencuri informasi (infostealer) baru untuk macOS bernama CrashStealer yang menyamar sebagai utilitas pelaporan crash milik Apple. Malware ini dirancang untuk mencuri kredensial login, data Keychain, password manager, hingga puluhan ekstensi dompet cryptocurrency.
Menurut laporan dari Jamf Labs, aktivitas CrashStealer mulai terpantau sejak Mei 2026 ketika malware tersebut masih dalam tahap pengembangan. Namun, serangan nyata baru mulai diamati pada awal Juli 2026.
Menyamar Sebagai Komponen Resmi macOS
CrashStealer menggunakan berbagai teknik untuk membuat dirinya tampak seperti komponen bawaan macOS.
Binary malware diberi nama CrashReporter.app, identik dengan aplikasi pelaporan crash milik Apple. Selain itu, malware juga:
- Membuat LaunchAgent bernama com.apple.crashreporter.helper
- Menggunakan ikon resmi Apple
- Menyalin metadata aplikasi asli agar terlihat meyakinkan
Lebih berbahaya lagi, installer awal malware (“Werkbit Setup“) telah ditandatangani secara digital (code signed) dan dinotarisasi oleh Apple (Apple Notarized).
Karena itu, installer dapat melewati perlindungan Gatekeeper tanpa memunculkan peringatan keamanan kepada pengguna.
Mengelabui Pengguna dengan Password Prompt Palsu
Setelah dijalankan, CrashStealer menampilkan dialog permintaan password administrator yang sangat mirip dengan prompt resmi macOS.
Korban akan mengira sistem sedang meminta otorisasi untuk menjalankan proses yang sah.
Password yang dimasukkan kemudian diverifikasi secara lokal menggunakan utilitas bawaan macOS dscl (Directory Service Command Line).
Jika password salah, malware akan menampilkan pesan kesalahan dan meminta korban mengulanginya hingga berhasil memperoleh password yang benar.
Password tersebut kemudian digunakan untuk membuka Apple Keychain, yaitu penyimpanan terenkripsi yang berisi berbagai data sensitif seperti:
- Password Safari
- Password Wi-Fi
- Password aplikasi
- Sertifikat digital
- Private key
- Token autentikasi
Menargetkan Password Manager dan Dompet Kripto
Selain Keychain, CrashStealer juga memburu berbagai informasi penting lainnya.
Browser
Malware mencuri:
- Password tersimpan
- Cookie login
Dari browser berbasis Chromium maupun Mozilla Firefox.
Password Manager
Sedikitnya 14 aplikasi password manager menjadi target, termasuk:
- 1Password
- Bitwarden
- LastPass
- Dashlane
- Keeper
- KeePassXC
- NordPass
- Enpass
- RoboForm
Dompet Cryptocurrency
CrashStealer mendukung pencurian data dari lebih dari 80 ekstensi wallet kripto, di antaranya:
- MetaMask
- Phantom
- Coinbase Wallet
- Trust Wallet
- Rabby
- Exodus
- Keplr
- Solflare
File Pengguna
Malware juga mengambil file dari folder:
- Documents
- Downloads
Namun sengaja mengabaikan file media berukuran besar, installer aplikasi, dan direktori sistem agar proses pencurian berlangsung lebih cepat dan tidak mencurigakan.
Data Dicuri dengan Enkripsi AES-256-GCM
Sebelum dikirim ke server pelaku, seluruh data hasil pencurian:
- Dienkripsi menggunakan AES-256-GCM
- Dikemas ke dalam arsip ZIP tersembunyi
- Dikirim ke server command-and-control (C2) menggunakan libcurl
Jamf menilai penggunaan enkripsi di sisi klien seperti ini masih jarang ditemukan pada malware infostealer macOS.
Selain itu, CrashStealer juga ditulis menggunakan bahasa C++ native, berbeda dari beberapa keluarga malware macOS lain seperti Atomic, MacSync, maupun Phexia.
Distribusi Masih Terbatas
Jamf belum mengungkap secara pasti bagaimana korban diarahkan menuju malware tersebut.
Namun, installer “Werkbit Setup” diketahui dihosting pada situs perangkat lunak palsu yang baru didaftarkan pada akhir Juni 2026.
Menariknya, proses pengunduhan installer hanya dapat dilakukan setelah pengunjung memasukkan meeting PIN, mengindikasikan bahwa kampanye ini bersifat terbatas dan hanya menargetkan korban tertentu.
Teknik Persistensi
CrashStealer juga memiliki mekanisme persistensi yang cukup unik.
Setelah terpasang, malware melakukan re-signing terhadap binary miliknya sendiri. Teknik ini menulis ulang informasi tanda tangan digital sehingga hash file berubah meskipun isi kode tidak mengalami perubahan.
Cara tersebut membuat malware lebih sulit dikenali oleh sistem deteksi yang mengandalkan pencocokan hash file.
Rekomendasi Mitigasi
Pengguna macOS disarankan untuk:
- Mengunduh aplikasi hanya dari sumber resmi.
- Waspada terhadap installer yang meminta password administrator tanpa alasan yang jelas.
- Memeriksa aplikasi yang terpasang meskipun telah lolos notarization Apple.
- Mengaktifkan solusi keamanan yang mampu mendeteksi perilaku malware, bukan hanya berdasarkan tanda tangan digital.
- Mengganti password dan memindahkan aset cryptocurrency apabila menduga perangkat telah terinfeksi.
Jamf juga telah merilis daftar lengkap Indicators of Compromise (IoC) yang mencakup hash file, nama komponen malware, artefak sistem, serta infrastruktur yang digunakan dalam kampanye CrashStealer.
Sumber: Jamf Labs








