Selama analisis berbagai sampel serpihan dari pencuri macOS yang terkenal, peneliti keamanan di Moonlock menemukan satu sampel dengan tingkat kecanggihan yang mengkhawatirkan. Dengan menyamar sebagai video game GTA 6 yang belum dirilis, setelah diinstal, malware tersebut mengeksekusi teknik yang cukup cerdik untuk mengekstrak informasi sensitif, seperti kata sandi dari Rantai Kunci lokal pengguna.
Dalam gaya Security Bite yang khas, berikut rinciannya: cara kerjanya dan cara tetap aman.
9to5Mac Security Bite secara eksklusif dipersembahkan oleh Mosyle, satu-satunya Platform Terpadu Apple . Menjadikan perangkat Apple siap bekerja dan aman bagi perusahaan adalah semua yang kami lakukan. Pendekatan terintegrasi kami yang unik terhadap manajemen dan keamanan menggabungkan solusi keamanan canggih khusus Apple untuk Pengerasan & Kepatuhan yang sepenuhnya otomatis, EDR Generasi Berikutnya, Zero Trust yang didukung AI, dan Manajemen Privilege eksklusif dengan MDM Apple yang paling kuat dan modern di pasar. Hasilnya adalah Apple Unified Platform yang sepenuhnya otomatis dan saat ini dipercaya oleh lebih dari 45.000 organisasi untuk membuat jutaan perangkat Apple siap bekerja tanpa perlu bersusah payah dan dengan biaya terjangkau. Minta UJI COBA PERPANJANGAN Anda hari ini dan pahami mengapa Mosyle adalah segalanya yang Anda perlukan untuk bekerja dengan Apple.
Seperti yang saya laporkan di Security Bite edisi sebelumnya, malware yang dibuat khusus untuk menargetkan macOS terus berkembang popularitasnya seiring dengan semakin populernya Mac. Tahun lalu, 21 keluarga malware baru ditemukan di alam liar, naik 50% dari tahun 2022.
Meskipun demikian, masih terdapat kesalahpahaman umum bahwa pelaku ancaman tidak menargetkan mesin Apple. Meskipun hal ini mungkin benar di masa lalu, hal ini tentu saja tidak berlaku saat ini. Tidak hanya jumlah serangan malware yang meningkat, namun serangannya juga menjadi lebih canggih dari sebelumnya.
Cara kerjanya
Moonlock, divisi keamanan siber MacPaw, menemukan sampel malware baru tersebut adalah varian dari perangkat pencuri kata sandi (PSW), sejenis malware trojan yang dirancang untuk mengumpulkan login dan kata sandi dari mesin yang terinfeksi dan mengirimkannya kembali ke mesin yang terinfeksi. aktor ancaman melalui koneksi jarak jauh atau email.
Malware menyamar sebagai dugaan salinan GTA 6 atau Notion versi bajakan. Ini adalah trik rekayasa sosial umum yang mengeksploitasi kepercayaan dengan menggunakan nama yang sudah dikenal untuk menipu pengguna agar mengunduh malware.
Khususnya, semua Mac dilengkapi dengan versi macOS Gatekeeper terinstal yang berfungsi di latar belakang untuk mencegah pengguna mengunduh aplikasi yang tidak ditandatangani dari Internet yang mungkin berisi malware. Namun, pengguna dapat mengesampingkan fitur keamanan ini hanya dengan mengklik kanan pada file DMG dan menekan “Buka.” Penjahat dunia maya memanfaatkan kemudahan ini dengan menyertakan grafik yang menginstruksikan pengguna tentang cara membuka file berbahaya. Jendela
menunjukkan kepada pengguna cara melewati Gatekeeper untuk menginstal DMG. melalui Moonlock Setelah dieksekusi, DMG mengeluarkan file Mach-O bernama AppleApp.
“Selanjutnya, AppleApp memulai permintaan GET ke URL tertentu yang berasal dari alamat IP Rusia. Jika koneksi berhasil, program akan mulai mengunduh muatan AppleScript dan Bash yang dikaburkan sebagian. Payload ini langsung dieksekusi dari memori aplikasi, melewati sistem file,” kata Moonlock dalam postingan blog tentang temuan tersebut.
Saat dijalankan, payload menggunakan pendekatan multi-segi untuk mencapai tujuan jahatnya. Dalam urutan ini:
Phishing untuk kredensialMenargetkan data sensitifProfil sistemPengeluaran data Karena database Rantai Kunci lokal hanya dapat diakses dengan kata sandi sistem pengguna, malware melakukan teknik cerdas keduanya. Ini menyebarkan jendela instalasi aplikasi pembantu palsu, yang selanjutnya mengeksploitasi kepercayaan dan menipu pengguna agar mengungkapkan kata sandi mereka.
Contoh visual jendela pembantu. Tidak terkait dengan sampel malware ini. Malware tersebut sekarang mulai menargetkan database Keychain dan banyak sumber data sensitif lainnya.
“Dengan presisi, malware memburu direktori sistem, mencari data berharga seperti cookie, riwayat formulir, dan kredensial login dari browser web populer termasuk Chrome, Firefox, Brave, Edge, Opera, dan OperaGX. Selain itu, ia mencari daftar server terbaru dari FileZilla, database MacOS Keychain, dan dompet mata uang kripto.”
Selain itu, dengan menggunakan AppleScripts yang lebih canggih, malware membuat folder rahasia di dalam direktori home pengguna. Di sini, setiap login, kata sandi, dan kunci yang dikumpulkan disimpan untuk menunggu ekstraksi dari sistem yang terinfeksi ke server eksternal yang dikendalikan oleh penjahat dunia maya.
Payload Apple Bash menunjukkan mekanisme eksfiltrasi data. via MoonlockCara agar tetap aman dari pencuri macOS
Meskipun hanya sekitar 6% dari semua malware yang menargetkan pengguna Mac, pelaku ancaman kini lebih aktif menargetkan macOS dibandingkan sebelumnya. Penting untuk tetap waspada dan terus menggunakan kecerdasan Internet yang umum.
Meskipun Anda mungkin sudah mengetahui banyak dari tips ini, menurut saya penting untuk mengulanginya lagi sehubungan dengan pencuri macOS:
Lakukan uji tuntas sebelum menginstal apa pun di luar Mac App Store resmiDalam situasi apa pun pengguna tidak boleh mengikuti instruksi untuk melewati Gatekeeper Berhati-hatilah dengan perintah atau permintaan sistem apa pun untuk informasi sensitif. Tetap ikuti
Itulah konten tentang Gigitan Keamanan: Malware macOS yang disamarkan dengan GTA 6 ini melakukan pencurian kata sandi Rantai Kunci, semoga bermanfaat.