JAKARTA – Peneliti Kaspersky menemukan jenis malware macOS yang tidak konvensional. Rangkaian perangkat lunak berbahaya yang sebelumnya tidak diketahui ini, didistribusikan secara diam-diam melalui aplikasi bajakan, menargetkan aset kripto pengguna macOS yang disimpan di dompet digital.
Berbeda dengan Trojan proksi yang ditemukan Kaspersky sebelumnya, ancaman baru ini berfokus pada kompromi Trojan.
Trojan kripto ini unik dalam dua hal: Pertama, ia menggunakan data DNS untuk mengirimkan skrip Python berbahayanya. Kedua, tidak hanya mencuri dompet kripto, tetapi juga mengganti aplikasi dompet dengan versi yang terinfeksi.
Hal ini memungkinkan untuk mencuri kata sandi yang digunakan untuk mengakses aset kripto yang disimpan di dompet.
Malware ini menargetkan macOS versi 13.6 dan lebih baru, menargetkan pengguna sistem operasi yang lebih baru pada perangkat Intel dan Apple Silicon.
Gambar disk yang disusupi berisi “aktivator” yang dicari dan aplikasinya. Aktivator, yang sekilas tampak tidak berbahaya, mengaktifkan aplikasi yang disusupi setelah pengguna memasukkan kata sandi.
Penyerang menggunakan versi aplikasi yang telah disusupi sebelumnya, memanipulasi file yang dapat dieksekusi sehingga tidak dapat berfungsi sampai pengguna menjalankan aktivator. Taktik ini memastikan bahwa pengguna tanpa disadari mengaktifkan aplikasi yang disusupi.
Setelah proses patching, malware mengeksekusi muatan utamanya dengan memperoleh data TXT DNS untuk domain jahat dan mendekripsi skrip Python domain tersebut. Skrip berjalan tanpa henti mencoba mengunduh langkah selanjutnya dalam rantai infeksi, yang juga merupakan skrip python.
Tujuan dari payload berikutnya adalah untuk menjalankan perintah sewenang-wenang yang diterima dari server. Meskipun tidak ada surat perintah yang diperoleh selama penyelidikan dan pintu belakang diperbarui secara berkala, jelas bahwa kampanye malware tersebut masih dalam pengembangan.
Kode tersebut menunjukkan bahwa perintah tersebut kemungkinan besar adalah skrip Python yang dikodekan.
Selain fungsi yang disebutkan, skrip memiliki dua fitur penting yang mencakup domain Apple-Analyzer[.]com.
Tujuan dari kedua fungsi ini adalah untuk memverifikasi keberadaan aplikasi dompet aset kripto dan menggantinya dengan versi yang diunduh dari domain yang ditentukan. Taktik ini tampaknya menargetkan dompet Bitcoin dan Exodus, mengubah aplikasi ini menjadi entitas jahat. Nilai aset kripto terus meningkat, sejumlah faktor disoroti oleh Oscar Darmawan, Chief Executive Officer Indodax saat memberikan pendapatnya mengenai kondisi pasar transaksi aset kripto saat ini. detiktegal.co.id 14 Mei 2024
