Malware pencuri informasi macOS baru yang disebut CrashStealer berpura-pura menjadi alat pelaporan kerusakan Apple untuk mencuri kredensial, data gantungan kunci, dan dompet kripto.
Peneliti malware mulai melacak malware tersebut pada bulan Mei, ketika malware tersebut tampaknya masih dalam pengembangan, namun mengamati bahwa malware tersebut digunakan dalam serangan pada awal Juli.
CrashStealer memiliki serangkaian kemampuan pencuri info yang tampaknya berfokus pada pengelola kata sandi dan lebih dari 80 ekstensi dompet kripto.
Penetes malware yang disahkan
Biner infostealer CrashStealer meniru komponen sistem Apple dengan mengambil nama ‘CrashReporter.app’, dalam upaya untuk menghindari pengawasan pengguna dan kemungkinan alat keamanan.
Selain namanya, malware ini juga membuat LaunchAgent bernama ‘com.apple.crashreporter.helper’ dan menggunakan ikon dan metadata alat yang sah agar sebisa mungkin menyerupai alat yang sah.
Menurut peneliti di Jamf, sebuah perusahaan yang menawarkan solusi manajemen dan keamanan untuk perangkat Apple, muatan dikirimkan melalui penginstal yang ditandatangani dan disahkan oleh Apple (“Werkbit Setup”).
Hal ini memungkinkannya melewati Gatekeeper, anti-malware bawaan di macOS, tanpa peringatan apa pun.

Sumber: Jamf Labs
Saat diluncurkan, malware menampilkan permintaan kata sandi macOS palsu untuk meyakinkan pengguna bahwa mereka mengizinkan operasi sistem sah yang memerlukan hak administrator.
Kata sandi ini dapat membuka kunci Rantai Kunci pengguna, yang berisi rahasia yang disimpan secara lokal dan bertindak sebagai brankas kata sandi terenkripsi macOS, biasanya berisi login Safari, kata sandi Wi-Fi, kata sandi aplikasi, kunci kriptografi pribadi, sertifikat, dan token.

Sumber: Jamf Labs
Ketika kata sandi diberikan, malware memvalidasinya secara lokal menggunakan ‘dscl’ (baris perintah Layanan Direktori). Jika salah, CrashStealer mengembalikan kesalahan autentikasi, meminta pengguna mengetiknya lagi.
Selain data gantungan kunci, analisis Jamf menunjukkan bahwa CrashStealer juga menargetkan data berikut:
- Kredensial browser dan cookie dari browser berbasis Chromium dan Firefox
- 80 ekstensi dompet mata uang kripto, termasuk MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Rabby, Exodus, Keplr, dan Solflare
- 14 pengelola kata sandi, termasuk 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass, dan RoboForm
- File dari direktori pengguna seperti Dokumen dan Unduhan, sambil sengaja melewatkan file media besar, penginstal, dan direktori sistem
Sebelum mengekstraksi data yang dicuri, CrashStealer mengenkripsinya menggunakan algoritme AES-256-GCM, metode yang sangat kuat untuk jenis operasi ini, mengemasnya ke dalam arsip ZIP tersembunyi, dan mengunggah data terkompresi ke server perintah-dan-kontrol (C2) menggunakan libcurl.
Peneliti Jamf mengatakan bahwa meskipun tujuannya tumpang tindih dengan keluarga infostealer lainnya (misalnya, Atomic, MacSync, dan Phexia), CrashStealer berbeda karena mekanisme enkripsi sisi klien dan implementasi C++ aslinya.
Jamf tidak membagikan rincian tentang metode distribusi awal CrashStealer yang sebenarnya, tetapi perhatikan bahwa muatan tahap pertama (Werkbit Setup) dihosting di situs perangkat lunak palsu yang terdaftar pada akhir Juni.

Sumber: Jamf Labs
Pengunduhan payload dilakukan melalui PIN rapat, yang menunjukkan kampanye terbatas pada pengunjung yang memberikan kode yang benar.
Peneliti Jamf mengatakan bahwa kampanye CrashStealer adalah operasi hati-hati yang berfokus pada siluman dengan menggunakan penetes malware yang ditandatangani dan disahkan serta muatan yang menandatangani ulang dirinya sendiri untuk persistensi.
Tujuan dari proses penandatanganan ulang adalah untuk menulis ulang data kode-tanda tangan dalam biner, yang menyebabkan file memiliki hash yang berbeda meskipun kodenya tetap tidak tersentuh.
milik Jamf laporan tentang CrashStealer berbagi serangkaian indikator penyusupan yang mencakup nama dan hash untuk alat jahat beserta rincian tentang infrastruktur pengiriman dan artefak sistem file.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.









