Peneliti keamanan telah mengungkap kembali apa yang tampaknya merupakan varian malware RustBucket terkenal yang menargetkan sistem MacOS. Apa yang pertama kali terdeteksi pada bulan April, laporan baru dari Jamf Threat Labs menyoroti bagaimana serangan ini terus berkembang dan siapa target potensialnya.
RustBucket adalah bentuk malware yang relatif baru yang secara khusus menargetkan pengguna Mac. Ini adalah hasil kerja kelompok Advanced Persistent Threat (APT) dari Korea Utara yang disebut BlueNoroff, sub-grup dari perusahaan kejahatan dunia maya terkenal di negara tersebut, Lazarus Group.
Pada hari Selasa, pakar keamanan Apple di Jamf Threat Labs mengungkapkan detail tentang apa yang diyakini sebagai varian malware macOS tahap selanjutnya dari BlueNoroff yang sangat mirip dengan RustBucket. Tahap selanjutnya mengacu pada setelah infeksi awal terjadi dan sering kali melibatkan eksfiltrasi data, pembentukan persistensi, atau pergerakan lateral dalam jaringan.
BlueNoroff sering kali menjangkau calon korban dengan menyamar sebagai investor atau pemburu kepala perusahaan, menurut Jamf. Juga tidak jarang pelaku ancaman membuat domain yang tampaknya milik perusahaan kripto yang sah untuk berbaur dengan aktivitas jaringan.
Penemuan varian baru mirip RustBucket dilakukan setelah peneliti Jamf menemukan biner universal macOS yang berkomunikasi dengan domain yang sebelumnya diklasifikasikan sebagai berbahaya.
“Eksekusi ini tidak terdeteksi di VirusTotal pada saat analisis kami, sehingga menarik minat kami,” kata Jamf.
RustBucket mengkompromikan targetnya menggunakan berbagai teknik, seperti email phishing, situs web berbahaya, dan unduhan drive-by. Setelah terinfeksi, malware berkomunikasi dengan server command and control (C2) untuk mengunduh dan mengeksekusi berbagai muatan. Namun, hal yang paling sulit dipahami adalah kemampuannya untuk melewati pemindai antivirus, seperti VirusTotal, tanpa terdeteksi sama sekali.
Dan itulah yang dilakukan varian baru ini.
Laporan pemindaian VirusTotal menunjukkan tidak ada aktivitas berbahaya yang ditemukan di file eksekusi varian baru. melalui Jamf Security Labs Dalam upaya untuk berkomunikasi dengan server C2 varian baru, peneliti Jamf melakukan pivot DNS dari domain berbahaya awal dan menemukan beberapa URL lagi yang digunakan untuk komunikasi. Pada akhirnya, upaya tersebut tidak berhasil, dan server C2 segera offline setelahnya.
“Selama beberapa bulan terakhir, Jamf Threat Labs telah mengungkap berbagai kampanye malware yang diatur oleh pelaku Advanced Persistent Threat yang sulit ditangkap ini dalam upaya mencuri aset digital dari korbannya,” Jaron Bradley, Direktur di Jamf Threat Labs, mengatakan kepada 9to5Mac.
“Penelitian terbaru kami menyoroti malware yang sebelumnya tidak dilaporkan yang digunakan oleh BlueNoroff untuk membangun saluran komunikasi rahasia pada sistem yang disusupi. Program tersembunyi ini memungkinkan penyerang mengirim dan menerima data sementara korban terus menggunakan komputernya, menghindari deteksi.”
RustBucket dan varian serupa dapat menimbulkan masalah serius bagi pengguna Mac. Namun, ada beberapa cara untuk melindungi diri Anda sendiri.
Yang terpenting: Berhati-hatilah saat membuka lampiran email, terutama jika pengirimnya tidak diketahui. Malware dapat dikirimkan melalui lampiran yang terinfeksi. Pastikan Anda menjalankan macOS versi terbaru dengan semua patch keamanan yang menyertainya. Hal ini membantu mengatasi kerentanan yang diketahui dapat dieksploitasi oleh malware. Instal perangkat lunak antivirus dan anti-malware terkemuka di Mac Anda yang juga dapat mendeteksi dan memblokir situs web berbahaya. Meskipun RustBucket memang bisa lolos tanpa terdeteksi, merupakan praktik yang baik untuk memiliki lapisan pertahanan ekstra di Mac. Anda dapat menemukan laporan lengkap Jamf tentang varian malware baru dan melihat indikator penyusupan di sini.
Itulah konten tentang Waspadai BlueNoroff: Pengguna Mac menjadi sasaran varian malware baru, semoga bermanfaat.