admin
Jakarta, PCplus – Peneliti dari Kaspersky menemukan malware macOS yang tidak biasa. Malware ini, yang belum pernah diketahui sebelumnya, tersebar secara diam-diam melalui aplikasi yang dibajak. Malware ini menyerang aset kripto pengguna macOS yang tersimpan di dompet digital. Berbeda dengan trojan proxy yang sebelumnya ditemukan oleh Kaspersky, malware ini lebih fokus pada kompromi terhadap trojan tersebut.
Baca Juga: Awas, Ada Proxy Trojan Baru di Software Bajakan MacOS
Malware kripto ini memiliki dua keunikan: pertama, ia menggunakan catatan DNS untuk mengirim skrip Python yang berbahaya. Kedua, ia tidak hanya mencuri dompet kripto, tetapi juga mengganti aplikasi dompet dengan versi yang terinfeksi. Hal ini memungkinkan untuk mencuri frase rahasia yang digunakan untuk mengakses aset kripto yang tersimpan di dompet.
Malware ini menargetkan macOS versi 13.6 dan yang lebih baru, yang menunjukkan bahwa ia mengincar pengguna sistem operasi yang lebih baru, baik pada perangkat Intel maupun Apple Silicon. Gambar disk yang terinfeksi berisi “aktivator” dan aplikasi yang dicari. Aktivator, yang tampak tidak berbahaya pada pandangan pertama, mengaktifkan aplikasi yang terinfeksi setelah meminta kata sandi pengguna.
Penyerang menggunakan versi aplikasi yang telah dikompromikan sebelumnya, memanipulasi file yang dapat dieksekusi agar tidak berfungsi hingga pengguna menjalankan aktivator. Taktik ini memastikan pengguna mengaktifkan aplikasi yang disusupi secara tidak sadar.
Menggunakan skrip Python
Setelah proses patching, malware mengeksekusi muatan utamanya dengan mendapatkan data TXT DNS untuk domain berbahaya dan mendekripsi skrip Python dari domain tersebut. Skrip berjalan tanpa henti mencoba mengunduh tahap berikutnya dari rantai infeksi yang juga merupakan skrip Python.
Tujuan dari payload berikutnya adalah untuk menjalankan perintah sewenang-wenang yang diterima dari server. Meskipun tidak ada perintah yang diterima selama penyelidikan dan backdoor diperbarui secara berkala, terbukti bahwa kampanye malware masih dalam pengembangan. Kode tersebut menunjukkan bahwa perintah tersebut kemungkinan besar merupakan skrip Python yang dikodekan.
Terlepas dari fungsi yang disebutkan, skrip berisi dua fitur penting yang melibatkan domain apple-analyzer[.]com. Kedua fungsi tersebut bertujuan untuk memeriksa keberadaan aplikasi dompet asset kripto dan menggantinya dengan versi yang diunduh dari domain yang ditentukan. Taktik ini terlihat menargetkan dompet Bitcoin dan Exodus, mengubah aplikasi ini menjadi entitas berbahaya.
Untuk mempelajari lebih lanjut tentang Trojan kripto dan backdoor macOS di Securelist.com
Comments
Loading…