OSX/Dok, jenis baru malware “skala besar” yang menargetkan pengguna macOS, dapat melewati fitur Gatekeeper yang dirancang untuk memblokir perangkat lunak berbahaya.
Trojan yang baru diidentifikasi, yang mencegah Anda melakukan apa pun di Mac hingga Anda menginstal pembaruan perangkat lunak palsu, juga tidak terdeteksi oleh banyak program antivirus.
Seiring bertambahnya basis pengguna macOS, begitu pula malware yang menargetkannya. Menurut McAfee Labs, serangan malware dirancang untuk komputer Mac naik 744 persen pada 2016, dengan hampir 460.000 sampel ditemukan. Yang terbaru sangat mengkhawatirkan.
Ditemukan oleh penelitian keamanan di Titik Cek, OSX/Dok dapat mencapai semua versi macOS dan OS X. Itu tidak dikenali oleh basis data antivirus saat pertama kali ditemukan, dan dianggap sebagai "malware skala besar" pertama yang menargetkan pengguna Mac.
Malware OSX/Dok menargetkan semua Mac
Aspek yang paling merepotkan dari malware ini? Itu ditandatangani dengan sertifikat pengembang yang valid yang telah diautentikasi oleh Apple, yang berarti macOS tidak melihatnya sebagai ancaman dan tidak diblokir oleh Gatekeeper. Sertifikat tertanggal 21 April 2017.
“Setelah infeksi OSX/Dok selesai, penyerang mendapatkan akses lengkap ke semua komunikasi korban, termasuk komunikasi yang dienkripsi oleh SSL,” jelas Check Point. "Ini dilakukan dengan mengarahkan lalu lintas korban melalui server proxy berbahaya."
Malware ini didistribusikan terutama di Eropa melalui email phishing yang mendorong pengguna untuk mengunduh file yang merinci dugaan inkonsistensi dalam pengembalian pajak mereka. File itu bernama "Dokument.zip" ketika didistribusikan di antara pengguna di Jerman.
Cara kerja malware OSX/Dok Mac
Saat Anda membukanya, malware menyalin dirinya sendiri ke folder /Users/Shared, kemudian melanjutkan untuk mengeksekusi dirinya sendiri secara otomatis. Itu juga menghapus jejak unduhan asli dari folder Unduhan, dan menampilkan pesan kesalahan yang berharap dapat meyakinkan pengguna bahwa file “tidak dapat dibuka.”
Sedikit yang mereka tahu bahwa malware telah menambahkan dirinya sebagai Item Login dengan nama "AppStore," yang berjalan secara otomatis ketika mereka pertama kali memulai Mac mereka. Ini akan terus dijalankan setiap kali Mac yang terinfeksi dijalankan hingga berhasil menginstal muatannya.
“Aplikasi jahat kemudian akan membuat jendela di atas semua jendela lainnya. Jendela baru ini berisi pesan, mengklaim masalah keamanan telah diidentifikasi dalam operasi sistem bahwa pembaruan tersedia, dan bahwa untuk melanjutkan pembaruan, pengguna harus memasukkan a kata sandi."
Setelah Anda menerima popup ini, Anda tidak dapat melakukan apa pun dengan Mac Anda sampai Anda setuju untuk menginstal pembaruan palsu. Dan tentu saja, memasukkan kata sandi Anda memberikan malware dengan hak administrator dan dapat melanjutkan fase serangan berikutnya.
Itu termasuk menginstal manajer paket yang mengunduh dan menginstal alat tambahan, dan segera memberikan hak admin kepada akun pengguna yang ada tanpa perlu memasukkan kata sandi. Ini juga mengubah pengaturan jaringan untuk memastikan semua koneksi keluar melewati proxy.
Apa yang dilakukan trojan OSX/Dok Mac?
Tentu saja, proxy itu berada di server jahat di "web gelap", dan setiap bagian data yang melewatinya akan dikumpulkan.
“Sebagai hasil dari semua tindakan di atas, ketika mencoba menjelajahi web, browser web pengguna pertama-tama akan meminta halaman web penyerang di TOR untuk pengaturan proxy,” kata Check Point.
“Lalu lintas pengguna kemudian dialihkan melalui proxy yang dikendalikan oleh penyerang, yang melakukan serangan Man-In-the-Middle dan meniru berbagai situs yang coba dijelajahi pengguna. Penyerang bebas membaca lalu lintas korban dan merusaknya dengan cara apa pun yang mereka mau.”
Setelah penyerang memperoleh informasi yang mereka inginkan, malware akan menghapus dirinya sendiri dari mesin yang terinfeksi. Pengguna tidak tahu apa yang terjadi di latar belakang sampai semuanya terlambat.
Melalui: Berita Peretas
