Bagi para pengguna macOS hendaknya perlu wapada. Pasalnya, peneliti Kaspersky telah menemukan jenis malware macOS yang tidak konvensional. Rangkaian perangkat lunak berbahaya yang sebelumnya tidak dikenal ini, didistribusikan secara diam-diam melalui aplikasi bajakan, menargetkan aset kripto pengguna macOS, yang disimpan di dompet digital. Berbeda dengan trojan proxy yang sebelumnya ditemukan oleh Kaspersky, ancaman baru ini berfokus pada kompromi terhadap trojan tersebut.
Trojan kripto ini unik dalam dua hal: pertama, ia menggunakan catatan DNS untuk mengirimkan skrip Python berbahayanya. Kedua, ia tidak hanya mencuri dompet kripto tetapi juga menggantikan aplikasi dompet dengan versinya yang terinfeksi. Hal ini memungkinkan untuk mencuri frase rahasia yang digunakan dalam mengakses aset kripto yang disimpan di dompet.
Malware ini menargetkan macOS versi 13.6 dan yang lebih baru, yang menunjukkan fokus pada pengguna sistem operasi yang lebih baru pula, baik pada perangkat Intel maupun Apple Silicon. Gambar disk yang disusupi berisi “aktivator” dan aplikasi yang dicari. Aktivator, yang sekilas tampak tidak berbahaya, mengaktifkan aplikasi yang disusupi setelah memasukkan kata sandi pengguna.
Penyerang menggunakan versi aplikasi yang telah dikompromikan sebelumnya, memanipulasi file yang dapat dieksekusi agar tidak berfungsi hingga pengguna menjalankan aktivator. Taktik ini memastikan pengguna mengaktifkan aplikasi yang disusupi secara tidak sadar.
Setelah proses patching, malware mengeksekusi muatan utamanya dengan mendapatkan data TXT DNS untuk domain berbahaya dan mendekripsi skrip Python dari domain tersebut. Skrip berjalan tanpa henti mencoba mengunduh tahap berikutnya dari rantai infeksi yang juga merupakan skrip Python.
Tujuan dari payload berikutnya adalah untuk menjalankan perintah sewenang-wenang yang diterima dari server. Meskipun tidak ada perintah yang diterima selama penyelidikan dan backdoor diperbarui secara berkala, terbukti bahwa kampanye malware masih dalam pengembangan. Kode tersebut menunjukkan bahwa perintah tersebut kemungkinan besar merupakan skrip Python yang dikodekan.
Terlepas dari fungsi yang disebutkan, skrip berisi dua fitur penting yang melibatkan domain apple-analyzer[.]com. Kedua fungsi tersebut bertujuan untuk memeriksa keberadaan aplikasi dompet asset kripto dan menggantinya dengan versi yang diunduh dari domain yang ditentukan. Taktik ini terlihat menargetkan dompet Bitcoin dan Exodus, mengubah aplikasi ini menjadi entitas berbahaya.
“Malware macOS yang terkait dengan perangkat lunak bajakan, menyoroti bahwa terdapat risiko serius di dalamnya. Penjahat dunia maya menggunakan aplikasi bajakan untuk mengakses komputer pengguna dengan mudah dan mendapatkan hak istimewa admin dengan meminta mereka memasukkan kata sandi. Pembuatnya menunjukkan kreativitas yang tidak biasa dengan menyembunyikan skrip Python dalam catatan server DNS, sehingga meningkatkan tingkat kerahasiaan malware dalam lalu lintas jaringan. Pengguna harus ekstra hati-hati, terutama dengan dompet aset kripto mereka. Hindari melakukan pengunduhan dari situs mencurigakan dan gunakan solusi keamanan siber tepercaya untuk perlindungan yang lebih baik,” kata Sergey Puzan, peneliti keamanan di Kaspersky.
Agar tetap aman dari Trojan dan mengamankan aset kripto Anda, peneliti Kaspersky merekomendasikan penerapan langkah-langkah berikut:
- Lebih aman mengunduh aplikasi Anda hanya dari toko resmi seperti Apple App Store. Aplikasi dari pasar ini tidak 100% aman dari kegagalan, namun setidaknya aplikasi tersebut diperiksa oleh perwakilan toko dan terdapat sistem penyaringan — tidak semua aplikasi dapat masuk ke toko ini.
- Instal solusi keamanan tepercaya dan ikuti rekomendasinya. Maka solusi aman akan menyelesaikan sebagian besar masalah secara otomatis dan memperingatkan Anda jika diperlukan.
- Perbarui sistem operasi dan aplikasi penting Anda saat pembaruan tersedia. Banyak masalah keamanan yang dapat diselesaikan dengan menginstal perangkat lunak versi terbaru.
- Amankan frase awal Anda: Saat menyiapkan dompet perangkat keras, pastikan untuk menuliskan dan menyimpan frase awal Anda dengan aman.
Gunakan kata sandi yang kuat: hindari penggunaan kata sandi yang mudah ditebak atau penggunaan ulang kata sandi dari akun lain.