Multi-Stage: Malware Baru Ancam Pengguna macOS dan Crypto

Para peretas yang diduga terkait dengan kelompok BlueNoroff, yang memiliki hubungan dengan Korea Utara, kini sedang melancarkan serangan malware multi-tahap yang menyasar bisnis mata uang kripto. Dengan mengembangkan toolkit mereka, para peretas ini menggunakan metode baru yang disebut RustDoor/ThiefBucket dan RustBucket. Kelompok ini, yang dikenal dengan nama Hidden Risk, telah mengembangkan teknik serangan yang licik dengan memanfaatkan perubahan pada file konfigurasi Zsh untuk mendapatkan akses berkelanjutan di perangkat korban.

Serangan ini berawal dari lampiran PDF jahat yang didandani layaknya berita terkait cryptocurrency. Dalam modusnya, PDF palsu ini digunakan untuk menyebarkan muatan malware dengan target utama adalah perusahaan yang bergerak di bidang mata uang kripto. Para peretas mengandalkan phishing, atau email tipu-tipu yang terlihat seperti informasi kripto, untuk mengelabui para korban. Modus ini menggunakan teknik rekayasa sosial, di mana korban dimanipulasi agar mau membuka dokumen atau mengunduh aplikasi yang tampak sah namun sebenarnya berbahaya.

Dalam setiap email phishing yang dikirim, lampiran PDF jahat tersebut tampak seperti laporan atau dokumen penelitian kripto yang terlihat profesional, sehingga membuatnya lebih sulit dideteksi sebagai ancaman. Menariknya, tak seperti taktik BlueNoroff sebelumnya yang lebih rinci, serangan kali ini menggunakan email sederhana tanpa banyak detail personal, hanya mengandalkan kepercayaan dan ketertarikan korban pada informasi tentang kripto.

Email-email ini terlihat cukup polos, tetapi sebenarnya berisi tautan yang dapat dialihkan menjadi pintu masuk malware “Hidden Risk” ke dalam macOS. Malware ini menyamar sebagai aplikasi berjudul “Hidden Risk Behind New Surge of Bitcoin Price.app” dan menipu pengguna dengan tampilannya yang terlihat seperti PDF. Di dalamnya, terdapat executable Mach-O universal yang bisa diunduh dan berjalan di perangkat Apple Intel maupun M1 dengan bantuan Rosetta.

Begitu masuk, malware ini akan membuka file PDF sebagai kamuflase. Pada saat bersamaan, malware tersebut mengunduh dan mengeksekusi file berbahaya dari URL tertentu, sehingga dapat melampaui batasan keamanan HTTP yang dimiliki macOS dengan trik sederhana pada file Info.plist. Malware utama, dengan nama kode growth, dirancang untuk berfungsi sebagai backdoor, memberi peretas akses jarak jauh untuk melakukan berbagai perintah.

Setelah diaktifkan, malware ini menjalankan mekanisme bertahan hidupnya dengan memanfaatkan fungsi yang memungkinkan malware mengumpulkan data sistem penting, seperti versi OS, model perangkat, waktu boot, tanggal saat ini, dan daftar proses yang sedang berjalan. Malware ini bahkan membuat kode identifikasi unik (UUID) untuk setiap perangkat yang terinfeksi, sehingga peretas dapat mengenali tiap korban.

Malware ini menggunakan metode HTTP POST untuk mengirim data dari perangkat korban ke server pusat peretas (C2) dan menerima instruksi baru untuk dieksekusi. Dalam menjalankan perintah berbahaya, malware ini menyisipkan payload ke dalam file tersembunyi di folder pengguna, memberi akses penuh, dan menjalankan perintah tersebut dengan metode popen.

Selain itu, malware ini menggunakan file konfigurasi Zshenv yang diubah, sehingga dapat menjaga akses tanpa diketahui pengguna. Meskipun teknik ini bukan sepenuhnya baru, ini pertama kalinya metode ini diamati digunakan oleh kelompok malware seperti BlueNoroff, yang tampaknya cukup efektif dan tidak mudah terdeteksi oleh pengguna.

Dengan strategi ini, BlueNoroff memperluas jangkauannya dalam jaringan infrastruktur terkait kripto dan investasi. Untuk mendukung serangan ini, kelompok ini menggunakan berbagai layanan hosting dan domain terdaftar melalui penyedia seperti NameCheap. Analis di Sentinel Labs telah berhasil mengidentifikasi rangkaian aktivitas yang lebih luas dari kelompok ini dengan memeriksa hubungan antar-infrastruktur, rekaman DNS, dan pencarian domain massal. Dari sini, mereka bahkan mendeteksi kemungkinan target masa depan yang mungkin sedang dalam radar peretas.

Dengan modus yang lebih halus, ancaman dari malware ini sangat berbahaya bagi pengguna macOS dan bisnis kripto. Teknik mereka yang menggabungkan metode phishing sederhana dengan manipulasi file sistem menunjukkan bahwa kelompok BlueNoroff terus berkembang dan menyesuaikan serangan untuk tetap relevan di tengah sistem keamanan yang semakin ketat.

Pengguna macOS dan organisasi yang terkait dengan kripto disarankan untuk berhati-hati terhadap email mencurigakan, terutama yang berisi lampiran PDF yang kelihatannya berasal dari sumber-sumber terpercaya. Meskipun email terlihat sederhana, hal ini bisa menjadi trik untuk mengelabui pengguna. Dengan meningkatnya aktivitas peretasan yang semakin canggih, penting bagi pengguna untuk memastikan keamanan perangkat dengan memperbarui sistem dan menghindari mengunduh aplikasi atau file dari sumber yang tidak dikenal.

BlueNoroff tampaknya memanfaatkan kebangkitan mata uang kripto untuk mencari celah keamanan yang bisa dieksploitasi. Dengan kolaborasi dan analisis yang terus dilakukan oleh perusahaan keamanan siber, upaya peretas seperti Hidden Risk dapat dilacak dan diantisipasi, namun tetap penting bagi pengguna untuk terus waspada.