— Pengguna komputer Mac kembali dihadapkan pada ancaman keamanan siber setelah peneliti menemukan malware baru yang diberi nama CrashStealer. Program berbahaya ini dirancang untuk menyusup ke perangkat dengan menyamar sebagai aplikasi yang tampak resmi sehingga lebih mudah mengecoh korban.

Keberadaan CrashStealer pertama kali diungkap oleh tim peneliti dari Jamf Threat Labs. Malware tersebut diketahui menyebar melalui aplikasi palsu bernama Werkbit yang tampilannya dibuat menyerupai utilitas bawaan milik Apple. Strategi penyamaran tersebut membuat pengguna berpotensi mengira aplikasi yang dijalankan merupakan bagian dari sistem operasi macOS.

Yang membuat kasus ini semakin serius, CrashStealer sempat lolos dari proses pemeriksaan keamanan Apple. Akibatnya, aplikasi tersebut sempat dianggap aman oleh Gatekeeper sehingga tidak langsung diblokir ketika dijalankan di perangkat korban.

CrashStealer Meniru Aplikasi Bawaan macOS untuk Mengecoh Pengguna

CrashStealer memanfaatkan nama CrashReporter.app sebagai kedok utama. Nama tersebut dipilih karena sangat mirip dengan fitur pelaporan kesalahan yang memang telah menjadi bagian dari macOS sejak lama.

Sebagian besar pengguna kemungkinan tidak akan curiga ketika melihat aplikasi tersebut muncul di layar. Padahal, Crash Reporter asli sudah tersedia secara otomatis di dalam sistem operasi sehingga tidak pernah memerlukan proses instalasi tambahan.

Begitu aplikasi palsu dijalankan, pengguna akan diminta memberikan izin Full Disk Access. Permintaan itu dikemas seolah-olah diperlukan untuk kebutuhan administrasi sistem sehingga terlihat meyakinkan.

Tahap berikutnya adalah munculnya jendela autentikasi yang dibuat hampir identik dengan tampilan resmi macOS. Jika pengguna memasukkan kata sandi administrator, malware segera memperoleh akses ke berbagai data penting yang tersimpan di perangkat.

Malware Menargetkan Password hingga Dompet Aset Kripto

Setelah memperoleh hak akses yang diperlukan, CrashStealer mulai mengumpulkan berbagai informasi sensitif dari komputer korban.

Data yang menjadi sasaran tidak hanya terbatas pada kata sandi yang tersimpan di Login Keychain, tetapi juga mencakup riwayat browser, dokumen pribadi, hingga file yang berada di folder Downloads dan Documents.

Selain itu, malware ini dirancang untuk mencari berbagai aplikasi pengelola kata sandi yang umum digunakan pengguna Mac.

Beberapa layanan yang dilaporkan menjadi target antara lain 1Password, LastPass, dan Dashlane.

CrashStealer juga memiliki kemampuan untuk mengidentifikasi lebih dari 80 ekstensi dompet mata uang kripto. Hal ini menunjukkan bahwa pelaku berupaya memperoleh akses terhadap aset digital yang dimiliki korban.

Sebelum dikirim ke server pelaku, seluruh data yang berhasil dikumpulkan terlebih dahulu dienkripsi menggunakan algoritma AES-256-GCM melalui framework CommonCrypto milik Apple agar aktivitasnya lebih sulit dideteksi.

Sempat Lolos dari Pemeriksaan Keamanan Apple

Salah satu aspek yang paling mengkhawatirkan dalam temuan ini adalah kemampuan CrashStealer melewati proses notarization milik Apple.

Notarization merupakan sistem verifikasi yang digunakan Apple untuk memeriksa aplikasi sebelum diizinkan berjalan di macOS. Tujuannya adalah mengurangi risiko penyebaran perangkat lunak berbahaya.

Namun pada kasus ini, aplikasi Werkbit sempat memperoleh status telah dinotarization sehingga Gatekeeper memperlakukannya sebagai aplikasi yang aman.

Jamf Threat Labs menilai teknik yang digunakan CrashStealer menunjukkan tingkat pengembangan yang cukup tinggi karena mampu menyembunyikan aktivitas berbahaya di balik tampilan aplikasi yang terlihat sah.

Apple Sudah Menonaktifkan Jalur Penyebaran yang Ditemukan

Jamf pertama kali menemukan aktivitas CrashStealer pada Mei 2026 sebelum kembali mendeteksinya beberapa waktu kemudian.

Setelah menerima laporan dari peneliti, Apple segera mencabut sertifikat penandatanganan digital milik aplikasi Werkbit. Langkah tersebut membuat jalur distribusi yang telah diketahui tidak lagi dapat digunakan.

Meski demikian, peneliti mengingatkan bahwa pelaku dapat mengembangkan metode baru untuk menyebarkan malware serupa melalui aplikasi berbeda.

Menariknya, sampel awal CrashStealer hanya dapat diinstal menggunakan PIN khusus. Kondisi tersebut mengindikasikan bahwa malware ini kemungkinan digunakan dalam serangan yang menyasar target tertentu, bukan kampanye penyebaran secara luas.

Cara Mengurangi Risiko Terinfeksi CrashStealer

Jamf mengimbau pengguna Mac agar lebih berhati-hati ketika mengunduh aplikasi dari internet, terutama aplikasi yang mengaku sebagai utilitas sistem.

Pengguna sebaiknya tidak memasang aplikasi yang mengklaim sebagai CrashReporter karena fitur tersebut telah tersedia langsung di macOS.

Selain itu, setiap permintaan akses Full Disk Access maupun kata sandi administrator perlu diperiksa dengan cermat sebelum disetujui.

Mengunduh aplikasi hanya melalui sumber tepercaya, memperbarui macOS secara rutin, serta menghindari instalasi perangkat lunak dari situs yang tidak dikenal juga menjadi langkah penting untuk memperkecil risiko serangan.

Kasus CrashStealer memperlihatkan bahwa teknik penyamaran malware semakin berkembang dan mampu memanfaatkan kepercayaan pengguna terhadap aplikasi yang terlihat resmi. Karena itu, kewaspadaan tetap menjadi perlindungan utama agar data pribadi, kredensial akun, maupun aset digital tidak jatuh ke tangan pelaku kejahatan siber.