CrashStealer Menyamar sebagai Fitur Resmi Apple, Pengguna Mac Diminta Waspada

JAKARTA - Pengguna komputer Mac diminta meningkatkan kewaspadaan setelah peneliti keamanan siber menemukan malware baru bernama CrashStealer yang menyamar sebagai utilitas resmi milik Apple. Malware tersebut dirancang untuk mencuri berbagai data sensitif, mulai dari kata sandi, data browser, hingga dompet aset kripto.

Temuan ini diungkap oleh Jamf Threat Labs, yang menemukan CrashStealer aktif menyebar melalui aplikasi palsu bernama Werkbit.

Yang membuat ancaman ini semakin berbahaya, malware tersebut sempat lolos dari mekanisme keamanan notarization Apple sehingga tidak langsung diblokir oleh Gatekeeper, sistem keamanan bawaan macOS yang biasanya mencegah aplikasi berbahaya dijalankan.

CrashStealer bekerja dengan menyamar sebagai CrashReporter.app, aplikasi yang tampilannya dibuat menyerupai sistem pelaporan kerusakan (crash reporting) bawaan macOS.Karena tampilannya sangat meyakinkan, banyak pengguna kemungkinan akan mengira aplikasi tersebut merupakan komponen resmi dari Apple.Padahal, fitur Crash Reporter asli sudah menjadi bagian dari macOS dan tidak perlu diunduh secara terpisah.

Saat dijalankan, aplikasi palsu tersebut meminta izin Full Disk Access dengan alasan administrasi sistem.Setelah itu, malware menampilkan kotak dialog permintaan kata sandi yang tampilannya hampir identik dengan jendela autentikasi resmi macOS.

Jika pengguna memasukkan kata sandi administrator, CrashStealer langsung menggunakannya untuk mengakses Login Keychain, tempat macOS menyimpan berbagai kredensial penting.

Incar Password hingga Dompet Kripto

Menurut Jamf Threat Labs, CrashStealer dirancang untuk mengumpulkan berbagai jenis data sensitif, antara lain:

  • data browser,

  • informasi dari Login Keychain,

  • data password manager,

  • file di folder Documents,

  • file di folder Downloads,

  • ekstensi dompet mata uang kripto.

Malware ini mampu menargetkan lebih dari 80 ekstensi dompet kripto serta sedikitnya 14 aplikasi pengelola kata sandi.

Beberapa password manager yang menjadi sasaran antara lain:

  • 1Password,

  • LastPass,

  • Dashlane.

Seluruh data yang berhasil dikumpulkan kemudian dienkripsi menggunakan algoritma AES-256-GCM melalui framework CommonCrypto milik Apple sebelum dikirim ke server milik pelaku.

Lolos dari Sistem Keamanan Apple

Salah satu hal yang paling mengkhawatirkan adalah kemampuan CrashStealer melewati proses notarization Apple.Notarization merupakan mekanisme keamanan yang digunakan Apple untuk memeriksa apakah aplikasi mengandung kode berbahaya sebelum diizinkan berjalan di macOS.

Namun, pada kasus ini, aplikasi Werkbit sempat memperoleh status notarized sehingga Gatekeeper menganggapnya sebagai aplikasi yang aman.

Jamf menilai implementasi CrashStealer menunjukkan tingkat kecanggihan yang lebih tinggi dibanding malware pencuri data pada umumnya karena mampu menyamarkan aktivitasnya dengan sangat rapi.

Apple Sudah Menutup Jalur Serangan

Jamf pertama kali menemukan CrashStealer pada Mei 2026 dan kembali mendeteksi malware tersebut aktif digunakan pada Juli.

Setelah menerima laporan, Apple mencabut sertifikat penandatanganan (signing credentials) milik aplikasi Werkbit sehingga jalur penyebaran yang ditemukan peneliti kini telah dinonaktifkan.

Meski demikian, para peneliti mengingatkan bahwa pelaku dapat menggunakan metode lain untuk menyebarkan malware serupa di masa mendatang.

Menariknya, versi awal CrashStealer hanya dapat dipasang menggunakan PIN khusus. Hal tersebut mengindikasikan bahwa malware ini kemungkinan digunakan dalam serangan yang menargetkan individu atau kelompok tertentu, bukan penyebaran secara massal.

Cara Melindungi Diri

Jamf mengimbau pengguna Mac untuk lebih berhati-hati saat mengunduh aplikasi dari internet.

Beberapa langkah yang disarankan antara lain:

  • jangan mengunduh aplikasi yang mengklaim sebagai CrashReporter karena fitur tersebut sudah tersedia secara bawaan di macOS;

  • waspadai aplikasi yang langsung meminta kata sandi administrator saat pertama kali dibuka;

  • unduh aplikasi hanya dari sumber tepercaya;

  • selalu perbarui macOS ke versi terbaru agar mendapatkan perlindungan keamanan terbaru.

Kasus CrashStealer menunjukkan bahwa sistem keamanan modern sekalipun tidak selalu mampu menghentikan seluruh ancaman. Teknik penyamaran yang semakin canggih membuat pengguna tetap menjadi lapisan pertahanan terpenting. Karena itu, memeriksa asal aplikasi sebelum menginstalnya dan tidak sembarangan memberikan izin akses atau memasukkan kata sandi administrator menjadi langkah sederhana yang dapat mencegah pencurian data penting maupun aset digital.