Pengguna dua platform pengiriman pesan populer asal Tiongkok, WeChat dan DingTalk varian macOS disinyalir menjadi target backdoor HZ Rat. Adalah peneliti Kaspersky yang telah mengidentifikasi akan hal tersebut. Adapun malware dimaksud, yang pertama kali terdeteksi pada sistem Windows, kini mengancam macOS, yang berpotensi memungkinkan pergerakan jaringan lateral dan pencurian data.
Versi macOS dari HZ Rat didistribusikan melalui penginstal aplikasi palsu “OpenVPN Connect”. Penginstal ini berisi klien VPN yang sah beserta dua berkas berbahaya: backdoor itu sendiri dan skrip yang meluncurkan backdoor bersama klien VPN. Setelah dimulai, backdoor tersebut terhubung ke server penyerang menggunakan daftar alamat IP yang telah ditentukan sebelumnya, dengan seluruh komunikasi dienkripsi untuk menghindari deteksi.
“Analisis pakar Kaspersky menunjukkan backdoor macOS mengumpulkan informasi seperti nama pengguna korban, alamat email kantor, dan nomor telepon dari berkas data DingTalk dan WeChat yang tidak dilindungi,” kata Sergey Puzan, analis malware di Kaspersky.
“Meskipun malware saat ini hanya mengumpulkan data, beberapa versi menggunakan alamat IP lokal untuk berkomunikasi dengan server penyerang, yang mengisyaratkan potensi pergerakan lateral dalam jaringan korban. Hal ini juga menunjukkan bahwa para penyerang mungkin merencanakan serangan yang terarah,” sambungnya.
HZ Rat pertama kali ditemukan pada bulan November 2022, ketika para peneliti DCSO menemukan malware versi Windows. Penemuan varian macOS HZ Rat menunjukkan bahwa kelompok di balik serangan Windows sebelumnya masih aktif. Meskipun tujuan akhir mereka belum jelas, data yang dikumpulkan dapat digunakan untuk mengumpulkan intelijen guna melancarkan serangan di masa mendatang.
Untuk mengurangi risiko infeksi malware seperti HZ Rat, Kaspersky merekomendasikan hal berikut:
- Lebih aman mengunduh aplikasi Anda hanya dari toko resmi. Aplikasi dari pasar ini tidak 100% aman dari kegagalan, tetapi setidaknya aplikasi diperiksa oleh perwakilan toko dan ada beberapa sistem penyaringan — tidak semua aplikasi dapat masuk ke toko ini.
- Dekati perlindungan Anda dengan ketekunan penuh dan pertimbangkan opsi penguatan tambahan. Gunakan solusi keamanan siber dengan kontrol aplikasi, Web, dan perangkat yang membatasi penggunaan aplikasi, situs web, dan periferal yang tidak diminta, yang secara signifikan mengurangi risiko infeksi bahkan dalam kasus di mana karyawan menggunakan TI bayangan atau membuat kesalahan karena kurangnya kebiasaan keamanan siber.
- Untuk melindungi perusahaan dari berbagai ancaman, gunakan solusi keamanan yang memberikan perlindungan waktu nyata, visibilitas ancaman, kemampuan investigasi dan respons EDR dan XDR untuk organisasi dengan ukuran dan industri apa pun. Bergantung pada kebutuhan Anda saat ini dan sumber daya yang tersedia, Anda dapat memilih tingkatan produk yang paling relevan dan dengan mudah bermigrasi ke tingkatan lain jika persyaratan keamanan siber Anda berubah.
- Gunakan solusi keamanan yang kuat di semua komputer pribadi dan perangkat seluler Anda.
- Selalu perbarui perangkat lunak di semua perangkat yang Anda gunakan untuk mencegah penyerang menyusup ke jaringan Anda dengan mengeksploitasi kerentanan.