Kampanye Malware macOS Menampilkan Teknik Pengiriman Baru

Peneliti keamanan telah memperingatkan adanya kampanye serangan siber baru yang menggunakan salinan produk perangkat lunak populer untuk mendistribusikan pintu belakang ke pengguna macOS.

Apa yang membuat kampanye ini berbeda dari banyak kampanye lain yang menggunakan taktik serupa — seperti yang dilaporkan awal bulan ini melibatkan situs web Tiongkok — adalah skalanya yang besar dan teknik pengiriman muatan multitahap yang baru. Yang juga perlu diperhatikan adalah penggunaan aplikasi macOS yang di-crack oleh pelaku ancaman dengan judul yang mungkin menarik bagi pengguna bisnis, sehingga organisasi yang tidak membatasi apa yang diunduh pengguna juga dapat terkena risiko.

Kaspersky adalah orang pertama yang melakukannya temukan dan laporkan pada pintu belakang Activator macOS pada bulan Januari 2024. Analisis selanjutnya terhadap aktivitas jahat oleh SentinelOne menunjukkan bahwa malware tersebut adalah “berjalan tersebar luas melalui torrent aplikasi macOS,” menurut vendor keamanan.

“Data kami didasarkan pada jumlah dan frekuensi sampel unik yang muncul di VirusTotal,” kata Phil Stokes, peneliti ancaman di SentinelOne. “Pada bulan Januari sejak malware ini pertama kali ditemukan, kami telah melihat lebih banyak sampel unik dari malware ini dibandingkan malware macOS lainnya yang kami [lacak] selama periode waktu yang sama.”

Jumlah sampel pintu belakang Activator yang diamati SentinelOne bahkan lebih banyak daripada volume adware macOS dan pemuat bundleware (pikirkan Adload dan Pirrit) yang didukung oleh jaringan afiliasi besar, kata Stokes. “Meskipun kami tidak memiliki data untuk menghubungkannya dengan perangkat yang terinfeksi, tingkat unggahan unik ke VT dan variasi aplikasi berbeda yang digunakan sebagai umpan menunjukkan bahwa infeksi di alam liar akan signifikan.”

Membangun Botnet macOS?

Salah satu penjelasan potensial untuk skala aktivitas ini adalah bahwa pelaku ancaman mencoba membuat botnet macOS, namun hal tersebut masih hanya hipotesis untuk saat ini, kata Stokes.

Pelaku ancaman di balik kampanye Activator menggunakan sebanyak 70 aplikasi macOS unik yang di-crack – atau aplikasi “gratis” yang perlindungan salinannya telah dihapus – untuk mendistribusikan malware. Banyak dari aplikasi yang diretas memiliki judul yang berfokus pada bisnis yang mungkin menarik bagi individu di lingkungan kerja. Contohnya: Snag It, Nisus Writer Express, dan Rhino-8, alat pemodelan permukaan untuk teknik, arsitektur, desain otomotif, dan kasus penggunaan lainnya.

“Ada banyak alat yang berguna untuk keperluan kerja yang digunakan sebagai umpan oleh macOS.Bkdr.Activator,” kata Stokes. “Perusahaan yang tidak membatasi perangkat lunak apa yang dapat diunduh oleh pengguna dapat berisiko dikompromikan jika pengguna mengunduh aplikasi yang terinfeksi pintu belakang.”

Pelaku ancaman yang ingin mendistribusikan malware melalui aplikasi yang diretas biasanya menyematkan kode berbahaya dan pintu belakang di dalam aplikasi itu sendiri. Dalam kasus Activator, penyerang menggunakan strategi yang agak berbeda untuk membuka pintu belakang.  

Metode Pengiriman Berbeda

Tidak seperti banyak ancaman malware macOS, Activator tidak benar-benar menginfeksi perangkat lunak yang diretas itu sendiri, kata Stokes. Sebaliknya, pengguna mendapatkan versi aplikasi crack yang tidak dapat digunakan yang ingin mereka unduh, dan aplikasi “Activator” yang berisi dua file executable berbahaya. Pengguna diinstruksikan untuk menyalin kedua aplikasi ke folder Aplikasi, dan menjalankan aplikasi Activator.

Aplikasi kemudian meminta kata sandi admin kepada pengguna, yang kemudian digunakan untuk menonaktifkan pengaturan Gatekeeper macOS sehingga aplikasi dari luar toko aplikasi resmi Apple kini dapat berjalan di perangkat. Malware kemudian memulai serangkaian tindakan jahat yang pada akhirnya mematikan pengaturan notifikasi sistem dan menginstal Agen Peluncuran pada perangkat, antara lain. Backdoor Activator sendiri merupakan installer dan downloader tahap pertama untuk malware lainnya.

Proses pengiriman multitahap “memberikan pengguna perangkat lunak yang telah di-crack, namun memberikan pintu belakang kepada korban selama proses instalasi,” kata Stokes. Artinya, meskipun pengguna kemudian memutuskan untuk menghapus perangkat lunak yang diretas, hal itu tidak akan menghilangkan infeksinya.

Sergey Puzan, analis malware di Kaspersky, menunjukkan aspek lain dari kampanye Activator yang patut diperhatikan. “Kampanye ini menggunakan pintu belakang Python yang tidak muncul di disk sama sekali dan diluncurkan langsung dari skrip pemuat,” kata Puzan. “Menggunakan skrip Python tanpa 'kompiler' seperti pyinstaller sedikit lebih rumit karena mengharuskan penyerang untuk membawa penerjemah Python pada tahap serangan tertentu atau memastikan bahwa korban telah menginstal versi Python yang kompatibel.”

Puzan juga percaya bahwa salah satu tujuan potensial dari pelaku ancaman di balik kampanye ini adalah membangun botnet macOS. Namun sejak laporan Kaspersky mengenai kampanye Activator, perusahaan belum melihat adanya aktivitas tambahan, tambahnya.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique