Malware CrashStealer macOS Gunakan Dropper Notarisasi untuk Lewati Gatekeeper
CrashStealer adalah malware baru yang menargetkan sistem operasi macOS dengan tujuan mencuri berbagai data sensitif dari korban. Berbeda dengan stealer lain yang biasanya menggunakan AppleScript atau Objective-C, CrashStealer dibangun menggunakan bahasa pemrograman C++ native yang membuatnya lebih kuat dan sulit dideteksi, menurut laporan dari Jamf Threat Labs.
Metode Penyebaran dan Cara Kerja Malware CrashStealer
Malware ini didistribusikan melalui sebuah dropper yang sudah ditandatangani dan dinotarisasi oleh Apple, sehingga dapat melewati pemeriksaan keamanan Gatekeeper tanpa dicurigai. Dropper ini dikemas dalam sebuah file disk image dengan nama "Werkbit.app". Baik disk image maupun file biner memiliki ID developer yang valid, yaitu "Emil Grigorov (WWB7JA7AQV)", sehingga dapat dipercaya oleh sistem macOS.
Disk image tersebut berasal dari domain "werkbit[.]io" yang baru didaftarkan pada Juni 2026. Uniknya, untuk mengunduh dropper ini pengguna harus memasukkan PIN rapat khusus, yang berarti malware hanya disebarkan ke target tertentu saja, bukan secara massal.
Setelah dipasang dan dijalankan, malware ini menginstruksikan pengguna untuk membuka aplikasi dengan klik kanan dan memilih "Open" agar dapat dijalankan. Proses selanjutnya, executable bernama "veltod" akan menghubungi repositori GitHub (github.com/mgothiclove) untuk mengambil file bernama "sys.cache".
File tersebut digunakan untuk mengekstraksi perintah curl yang kemudian men-download skrip shell. Skrip ini bertindak sebagai downloader untuk mengambil payload utama, yaitu "CrashReporter.dmg", yang kemudian disimpan di direktori /tmp.
Fitur dan Data yang Dicuri oleh CrashStealer
Setelah payload utama dijalankan, CrashStealer akan:
- Mengatur dirinya agar persistensi melalui LaunchAgent;
- Menampilkan prompt password dan memvalidasi password login secara lokal;
- Membuka keychain login menggunakan password yang sudah tervalidasi;
- Mengecek adanya perangkat lunak keamanan atau analisis yang terpasang;
- Mengumpulkan data dari browser, dompet kripto, password manager, serta keychain;
- Menyusun data hasil curian ke dalam arsip ZIP;
- Mengirim data tersebut ke server yang dikendalikan penyerang di alamat IP 179.43.166[.]242.
Secara rinci, data yang dicuri meliputi:
- Kredensial dari browser berbasis Chromium seperti Google Chrome, Brave, Microsoft Edge, Opera, Opera GX, Vivaldi, Chromium, dan Naver Whale;
- Sekitar 80 ekstensi dompet cryptocurrency, termasuk MetaMask, Phantom, Coinbase, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare, dan Backpack;
- Data dari 14 password manager populer seperti 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass, dan RoboForm;
- File dari direktori ~/Documents dan ~/Downloads.
Teknologi dan Keunggulan CrashStealer
Menurut penjelasan dari peneliti keamanan Thijs Xhaflaire, fitur unik CrashStealer terletak pada cara pembangunannya yang mengutamakan ketahanan terhadap analisis dan pengamanan data hasil curian dengan enkripsi AES-GCM di sisi klien sebelum data dikirim ke server penyerang.
"CrashStealer tidak hanya mengumpulkan data secara luas, tapi juga mengimplementasikan enkripsi AES-GCM untuk mengamankan data yang dicuri, serta menggunakan teknik anti-debugging, kontrol alur yang dipadatkan, dan string terenkripsi untuk menghindari deteksi dan analisis," ujar Xhaflaire.
Jamf Threat Labs menambahkan bahwa rantai distribusi malware ini sangat terencana, menggunakan dropper yang sudah disahkan dan dinotarisasi untuk melewati Gatekeeper, lalu secara diam-diam mengambil, menandatangani ulang, dan menjalankan payload utama.
Implikasi dan Cara Mencegah Infeksi CrashStealer
Malware seperti CrashStealer menunjukkan peningkatan kecanggihan serangan siber terhadap pengguna macOS, terutama dengan memanfaatkan mekanisme resmi Apple untuk melewati proteksi. Pengguna macOS disarankan untuk:
- Selalu mengunduh aplikasi hanya dari Mac App Store atau sumber resmi terpercaya;
- Memperhatikan tanda peringatan dari Gatekeeper dan tidak membuka aplikasi dari sumber tidak dikenal tanpa verifikasi;
- Memperbarui sistem operasi dan perangkat lunak keamanan secara rutin;
- Berhati-hati terhadap tautan atau undangan yang meminta PIN rahasia atau akses khusus;
- Menggunakan solusi keamanan endpoint yang mampu mendeteksi perilaku mencurigakan pada sistem macOS.
Analisis Redaksi
Menurut pandangan redaksi, kemunculan CrashStealer menandai sebuah tren baru dalam serangan malware terhadap ekosistem Apple yang selama ini dianggap lebih aman dibandingkan platform lain. Dengan memanfaatkan dropper yang sudah dinotarisasi, pelaku kejahatan siber ini berhasil mengeksploitasi kepercayaan sistem terhadap aplikasi resmi, sehingga malware mampu melakukan aksinya tanpa terdeteksi oleh proteksi bawaan macOS.
Kejahatan siber dengan teknik seperti ini memperlihatkan bahwa pelaku makin cerdas dan memanfaatkan celah proses verifikasi aplikasi resmi untuk menyusupkan kode berbahaya. Hal ini menjadi peringatan serius bagi pengguna dan perusahaan bahwa sistem keamanan digital harus terus dikembangkan dan tidak boleh hanya mengandalkan kebijakan notarisasi dan Gatekeeper saja.
Ke depan, penting untuk memperhatikan pola distribusi malware yang semakin tertutup seperti penggunaan PIN untuk akses unduhan, yang menunjukkan adanya kampanye targeted attack atau serangan yang diarahkan ke kelompok atau individu tertentu. Pengawasan dan edukasi keamanan digital wajib ditingkatkan agar serangan semacam CrashStealer dapat dicegah sejak dini.
Untuk update keamanan terbaru seputar malware macOS dan tips perlindungan, tetap ikuti berita dari sumber terpercaya dan perangkat keamanan resmi.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0