Jakarta – Peneliti Kaspersky telah menemukan jenis malware macOS yang tidak konvensional. Kumpulan malware yang sebelumnya tidak dikenal ini, didistribusikan secara diam-diam melalui aplikasi yang diretas, menargetkan aset kripto pengguna macOS, yang disimpan dalam dompet digital.
Berbeda dengan trojan proxy yang sebelumnya ditemukan oleh Kaspersky, ancaman baru ini berfokus pada trojan itu sendiri.
Trojan kriptografi ini unik dalam dua hal: pertama, ia menggunakan data DNS untuk mengirimkan skrip Python berbahayanya. Kedua, tidak hanya mencuri dompet kripto, tetapi juga mengganti aplikasi dompet dengan versi yang terinfeksi.
Hal ini memungkinkan untuk mencuri frasa sandi yang digunakan untuk mengakses aset kripto yang disimpan di dompet.
Malware tersebut menargetkan macOS versi 13.6 ke atas, dan dikatakan menargetkan pengguna sistem operasi yang lebih baru, baik perangkat Intel maupun Apple Silicon.
Gambar yang kapasitasnya dikompromikan berisi “penggerak” pencarian dan aplikasi. Aktivator, yang sekilas tampak tidak berbahaya, mengaktifkan aplikasi yang disusupi setelah pengguna memasukkan kata sandi.
Penyerang menggunakan versi aplikasi yang telah disusupi sebelumnya, memanipulasi file yang dapat dieksekusi sehingga tidak dapat berfungsi sampai pengguna menjalankan aktivator. Taktik ini memastikan bahwa pengguna mengaktifkan aplikasi yang disusupi tanpa sepengetahuan mereka.
Setelah proses patching, malware mengeksekusi muatan utamanya dengan menemukan data TXT DNS domain berbahaya dan mendekripsi skrip Python domain tersebut. Skrip berjalan terus menerus mencoba mengunduh langkah berikutnya dalam rantai infeksi yaitu skrip Python.
Target pemuatan berikutnya menjalankan perintah sewenang-wenang yang diterima dari server. Meskipun tidak ada surat perintah yang diterima selama penyelidikan dan diperbarui secara berkala, jelas bahwa kampanye malware masih berkembang.
Kode tersebut menunjukkan bahwa perintah tersebut mungkin merupakan skrip berkode Python.
Selain fungsi yang disebutkan, skrip memiliki dua fitur penting apple-analyzer[.]com domain.
Kedua fungsi ini memeriksa keberadaan aplikasi dompet kripto aset dan menggantinya dengan versi yang diunduh dari domain yang ditentukan. Taktik ini tampaknya menargetkan dompet Bitcoin dan Exodus, menjadikan aplikasi ini entitas jahat.