Peneliti keamanan di Moonlock, sayap keamanan siber MacPaw yang relatif baru, telah mendeteksi jenis malware macOS baru yang menyamar sebagai aplikasi Mac sah yang dapat menghancurkan dirinya sendiri dalam kondisi tertentu. Yang terburuk, tanpa disadari ia dapat mengekstrak cookie dari Safari dan Chrome, kontak dari Buku Alamat, dan kata sandi dari pengelola kata sandi yang terpasang. Perkenalkan Empire Transfer…
9to5Mac Security Bite secara eksklusif dipersembahkan oleh Mosyle, satu-satunya Platform Terpadu Apple . Menjadikan perangkat Apple siap bekerja dan aman bagi perusahaan adalah semua yang kami lakukan. Pendekatan terintegrasi kami yang unik terhadap manajemen dan keamanan menggabungkan solusi keamanan canggih khusus Apple untuk Pengerasan & Kepatuhan yang sepenuhnya otomatis, EDR Generasi Berikutnya, Zero Trust yang didukung AI, dan Manajemen Privilege eksklusif dengan MDM Apple yang paling kuat dan modern di pasar. Hasilnya adalah Apple Unified Platform yang sepenuhnya otomatis dan saat ini dipercaya oleh lebih dari 45.000 organisasi untuk membuat jutaan perangkat Apple siap bekerja tanpa perlu bersusah payah dan dengan biaya terjangkau. Minta UJI COBA PERPANJANGAN Anda hari ini dan pahami mengapa Mosyle adalah segalanya yang Anda perlukan untuk bekerja dengan Apple.
Security Bite adalah kolom mingguan Anda yang berfokus pada keamanan di 9to5Mac. Setiap hari Minggu, Arin Waichulis memberikan wawasan tentang privasi data, mengungkap kerentanan, dan menyoroti ancaman yang muncul dalam ekosistem luas Apple yang memiliki lebih dari 2 miliar perangkat aktif. Tetap aman, tetap aman.
Seperti yang saya laporkan di Security Bite edisi minggu lalu, malware yang khusus dibuat untuk menargetkan macOS terus semakin populer seiring semakin banyaknya orang yang berpindah ke Mac. Tahun lalu, 21 keluarga malware baru ditemukan, naik 50% dari tahun 2022.
Moonlock Lab mengatakan kepada 9to5Mac bahwa mereka menemukan jenis malware baru melalui aplikasi di VirusTotal saat meneliti sampel. Terdiri dari sekitar 70 mesin antivirus, VirusTotal banyak digunakan oleh para profesional untuk menganalisis file dan URL mencurigakan untuk melihat apakah mengandung malware. Di sisi lain, penjahat akan sering menggunakan layanan ini untuk menentukan apakah aplikasi berbahaya mereka dapat dideteksi dengan mudah.
Menurut laporan baru Moonlock Lab, file bernama Empire Transfer 12.3.23.dmg pertama kali muncul di VirusTotal pada bulan Desember tahun lalu, diperkirakan telah diunggah oleh pelaku ancaman. Itu melewati semua pemindai, muncul sebagai aplikasi yang sah dan menggunakan merek EMPIRE (@EMPIRE on X), label rekaman terkenal yang memiliki hubungan dengan Kendrick Lamar, Snoop Dogg, dan lainnya.
“Pendekatan yang cukup standar untuk memberi nama malware adalah dengan menggunakan nama generik atau konsonan,” kata Moonlock. “Untuk melakukan ini, pelaku kejahatan menggunakan nama dan logo yang mudah dipahami Google untuk menyesatkan pengguna. Terlepas dari nama dan simbol merek yang ditampilkan saat menginstal program melalui dmg, tidak ada tautan ke EMPIRE [yang sebenarnya] yang ditemukan.”
Tangkapan Layar Empire Transfer 12.3.23.dmg terdeteksi di VirusTotal dan spanduk mencurigakan:
Empire Transfer adalah jenis malware trojan yang dikenal sebagai pencuri info. Ini dirancang untuk melakukan persis seperti namanya: mengumpulkan sebanyak mungkin informasi sensitif dari pengguna yang terinfeksi, biasanya tanpa terdeteksi. Sebuah file, yang biasanya berisi kata sandi, informasi kartu kredit, kontak, atau kunci mata uang kripto, dikirim kembali ke pelaku ancaman melalui email atau koneksi jarak jauh.
Cara kerjanya
DMG berisi file yang dibuat dengan PyInstaller bernama ‘Engineer Documents.’ Di dalamnya, kode berbasis Python berfungsi sebagai tulang punggung aplikasi Empire Transfer, menciptakan lebih dari selusin proses setelah dijalankan. “Yang penting, file ini juga tidak terdeteksi oleh VT,” kata Moonlock. Ini menunjukkan kode yang benar-benar baru yang belum terlihat oleh VirusTotal atau pemindainya.
“Penyelidikan lebih lanjut mengungkapkan bahwa Empire Transfer 12.3.23.dmg menerapkan berbagai teknik untuk menjalankan tindakan jahatnya, termasuk meluncurkan AppleScript melalui alat ‘osascript’ untuk menipu pengguna agar mengungkapkan kata sandi mereka.”
Selain menargetkan pengelola kata sandi (atau dompet) yang dipasang secara lokal, malware ini melangkah lebih jauh dengan mengekstrak cookie Safari dan Chrome serta kontak dari Buku Alamat. Di bawah ini cuplikan kode cara kerja masing-masing proses:
Cuplikan kode yang menunjukkan cara malware mencuri cookie dari Safari dan Chrome. melalui Moonlock LabBagaimana cara mengekstrak informasi kontak dari Buku Alamat. melalui cuplikan Moonlock LabCode yang menunjukkan bagaimana malware mengambil data dari berbagai dompet kata sandi. melalui Moonlock Lab Moonlock Lab percaya Empire Transfer memiliki karakteristik yang mirip dengan AMOS, yang lebih dikenal sebagai Atomic Stealer. Jenis pencuri informasi lainnya yang mulai menargetkan kata sandi Rantai Kunci iCloud awal tahun lalu.
Namun, strain ini memperkenalkan beberapa variasi menarik yang meningkatkan kemampuannya melebihi apa yang dapat dilakukan oleh Atomic Stealer. “Khususnya, malware ini menyertakan banyak file di DMG, dengan satu file Mach-O yang dikemas menggunakan PyInstaller. Diversifikasi dalam metodologi serangan ini menunjukkan adanya evolusi dan adaptasi yang berkelanjutan oleh para pelaku ancaman agar tetap menjadi yang terdepan dalam mekanisme deteksi,” kata laporan tersebut.
Selain itu, file Mach-O Empire Transfer menerapkan teknik anti-virtualisasi yang dapat memicu kode untuk “membunuh dirinya sendiri” jika mendeteksi bahwa kode tersebut ada di dalam .
Itulah konten tentang Security Bite: Jenis malware macOS yang merusak diri sendiri dan menyamar sebagai aplikasi Mac yang sah, semoga bermanfaat.