Perkembangan teknologi tentunya membawa banyak kemudahan bagi para pengguna. Namun dibalik kemudahan yang diberikan, pasti ada saja oknum yang memanfaatkannya untuk melakukan kejahatan siber. Salah satunya melalui perangkat lunak. Sehingga pengguna perlu lebih berhati-hati saat mengunduh aplikasi, terlebih untuk pengguna Mac.
Pengguna harus waspada malware macOS menyamar menjadi aplikasi resmi di perangkat. Karena baru-baru ini, peneliti keamanan menemukan metde baru yang diunakan malware untuk berhasil lolos dari sistem pemeriksaan keamanan bawaan macOS. Apabila malware ini brkamuflase menjadi aplikasi resmi, maka data sensitif pengguna berpotensi untuk dicuri tanpa diketahui.
Dalam laporan tim peneliti ancaman, keamanan, dan ilmuawan data Jamf Threat Labs, disebutkan jika metode yang digunakan ini merupakan salah satu bentuk evolusi distribusi malware macOS yang paling canggih. Dan secara khusus, malware tersebut adalah varian dari MacSync Stealer yaitu jenis perangkat lunak berbahaya.
Perangkat lunak tersebut memang dirancang untuk menyerang sistem operasi macOS. Dan tujuan perancangan yang dilakukan adalah untuk bisa mencuri informasi serta data sensitif pengguna. Artinya, pengguna yang mengunduh aplikasi ini karena mengiranya aplikasi resmi, akan berpotensi mengalami kebocoran data sensitif.
Waspada Malware MacOS Menyamar Menjadi Aplikasi Resmi
Dilaporkan oleh Jamf bahwa pengembang MacSync Stealer ini memanfaatkan jalur resmi Apple yaitu proses noarization untuk menyusup sistem keamanan macOS. Diketahui bahwa notarisasi Apple merpakan sistem keamanan otomatis yang akan memverifikasi perangkat lunak macOS yang didistribusikan di luar Mac App Store.
Apabila aplikasi yang masuk ke mac berhasil melewati proses ini, maka sistem macOS akan menganggap aplikasi tersebut sebagai aplikasi yang aman. pengguna awam juga pasti percaya jika aplikasi yang telah berhasil diunduhnya merupakan aplikasi resmi yang aman untuk digunakan.
Dalam hal ini, Jamf mengatakan bahwa malware tidak langsung ditanamkan pada aplikasi. Namun malware menyisipkan MacSync Stealer melalui aplikasi yang sudah ditanda tangani dan dinotariskan Apple. Dan aplikasi plasu ini didistribusikan sebaga installer dengan nama zk-Call & Messenger. Pengguna disarankan untuk membukanya melalui website.
Jamf menjelaskan bahwa pengguna tidak perlu lagi melakukan bypass Gatekeeper karena aplikasi tersebut sudah ditandatangani dan dinotariskan. Karenanya, aplikasi palsu tersebut bisa dijalankan hanya dengan mengetuk dua kali yang membuat instalasi tahap awal berjalan tanpa intervensi Gatekeeper.
Aplikasi palsu akan mulai menjalankan serangan setelah installer terbuka. Di sini, aplikasi akan mengunduh muatan tahap kedua melalui server penyerang. Muatan inilah yang nantinya akan memasang MacSync Stealer asli ke dalam sistem. dengan begitu, pencurian data sensitif pengguna mulai dilakukan.
Adanya metode dua tahap yang digunakan penjahat siber tersebut membuat pemeriksaan keamanan lebih sulit. Hal ini dikarenakan Apple yang tidak mendeteksi malware di tahap notarization karena kode berbahayanya memang belum dimasukkan pada proses tersebut. Karenanya, para pengguna macOS tidak lagi bisa mempercayakan keamanan hanya dari status aplikasi resmi saja.
