Pengguna Mac perlu meningkatkan kewaspadaan terhadap notifikasi sistem yang meminta kredensial. Sebuah ancaman malware baru bernama CrashStealer kini menyamar sebagai alat pelaporan kerusakan resmi dari Apple.
Malware ini teridentifikasi mampu mencuri data penting seperti informasi dari Keychain, berkas lokal, serta data dari peramban web, manajer kata sandi, dan dompet kripto.
Perusahaan keamanan siber Jamf mengungkap bahwa CrashStealer beroperasi dengan menyamar sebagai aplikasi sah bernama “CrashReporter.app”. Ia menggunakan ikon dan metadata yang sangat mirip dengan aplikasi bawaan macOS.
Proses penyebarannya pun tergolong canggih. Installer yang digunakan ditandatangani dan dinotarisasi oleh Apple, membuatnya tampak meyakinkan. Calon korban dapat mengunduh installer ini dari situs web palsu yang mempromosikan platform rapat “Werkbit”.
Untuk memulai instalasi, pengguna diminta memasukkan PIN. Setelah itu, proses instalasi berjalan layaknya aplikasi legal lainnya. Kampanye ini memanfaatkan rekayasa sosial untuk menipu pengguna agar menginstal muatan berbahaya langsung ke perangkat mereka.
Teknisnya, CrashStealer mampu menghindari deteksi dari alat anti-malware bawaan macOS. Ketika malware ini aktif, ia menampilkan permintaan otorisasi yang sangat mirip dengan notifikasi sistem macOS.
Pengguna akan diminta memasukkan kata sandi untuk mengizinkan perubahan pada preferensi sistem. Malware ini akan memvalidasi kredensial yang dimasukkan secara lokal.
Jika kata sandi salah, permintaan akan terus muncul hingga kata sandi yang benar diberikan. Dengan kata sandi sistem, pelaku ancaman dapat mengakses Keychain pengguna dan seluruh data terenkripsi di dalamnya.
Data yang dicuri meliputi kata sandi Wi-Fi, kata sandi aplikasi, sertifikat, dan token. CrashStealer juga dilaporkan menargetkan berkas dari folder Dokumen dan Unduhan.
Selain itu, kredensial dan cookie dari peramban Firefox dan berbasis Chromium menjadi sasaran. Malware ini juga mengincar data dari 14 manajer kata sandi populer, termasuk 1Password, Bitwarden, LastPass, Dashlane, NordPass, dan Keeper.
Lebih lanjut, 80 ekstensi dompet kripto juga menjadi target. Data yang berhasil dicuri akan dienkripsi, dikompresi ke dalam arsip ZIP tersembunyi, dan diunggah ke server penyerang.
Meskipun cara penyebaran spesifiknya belum sepenuhnya jelas, pengguna disarankan untuk sangat berhati-hati saat mengunduh dan menginstal aplikasi. Serangan siber kini semakin canggih dan sulit dideteksi.
Jika keraguan muncul mengenai asal-usul atau keabsahan suatu aplikasi, sebaiknya tidak dilanjutkan instalasinya. Pengguna juga harus waspada terhadap proses sistem yang meminta kredensial, karena laporan kerusakan dan diagnostik yang dikirim ke Apple tidak memerlukan otentikasi kata sandi.
