Telset.id – Para peneliti keamanan yang fokus pada perangkat Apple telah menemukan malware macOS baru yang secara mengejutkan cerdik saat mengumpulkan data dan kredensial login. Malware yang dijuluki PamStealer ini menggunakan teknik penyusupan dua tahap yang tidak biasa, mengancam pengguna Mac dengan mencuri kata sandi dan data sensitif lainnya.
Menurut firma IT Jamf yang dilaporkan oleh ArsTechnica, PamStealer dapat masuk ke Mac Anda dalam dua tahap. Pertama, malware ini menyamar sebagai Maccy, sebuah aplikasi clipboard manager yang sah dan populer. PamStealer dikompilasi sebagai AppleScript yang ditulis dalam Rust dan menggunakan antarmuka Pluggable Authentication Modules (PAM) yang tertanam di macOS untuk menargetkan kata sandi login perangkat, yang kemudian dikirim ke server yang dikendalikan oleh penyerang.
Yang membuat PamStealer unik adalah kemampuannya menggabungkan AppleScript dan disk image untuk menyusup secara diam-diam ke komputer Anda. Saat Anda mengklik AppleScript tersebut, ia akan membuka macOS Script Editor tempat malware disembunyikan di dalam file.
“Daripada mengandalkan perintah shell seperti curl atau zsh, AppleScript menjalankan pengunduh JavaScript for Automation (JXA) mandiri yang mengambil dan menyusun payload menggunakan API Objective-C asli,” tulis tim Jamf. “Dikombinasikan dengan tahap kedua berbasis Rust dan alur kerja penangkapan kata sandi yang memvalidasi kredensial secara lokal melalui PAM, hasilnya adalah rantai eksekusi yang lebih senyap daripada yang biasanya kami amati pada pencuri macOS komoditas.”
Baca Juga:
Cara Kerja PamStealer
Saat seseorang menginstal Maccy palsu dan membuka disk image, mereka diminta untuk menekan Command-R segera. Melakukan hal tersebut akan mengeksekusi kode berbahaya di dalam AppleScript. Ini memungkinkannya melewati com.apple.quarantine, fitur macOS normal yang memberikan peringatan dan pembatasan saat Anda membuka file yang dapat dieksekusi dari internet.

Tahap kedua adalah file Mach-O yang ditulis khusus untuk Mac yang menjalankan prosesor Apple M-series. Rust adalah kode yang tidak umum untuk infostealer macOS. Ini menggabungkan SQLite dan menyebutnya sebagai antarmuka baca, artinya ia membuka dan membaca file database secara langsung.
PamStealer akan memunculkan prompt kata sandi asli yang dimaksudkan untuk menyerupai permintaan otorisasi sistem. Prompt tersebut bertuliskan, “Maccy ingin membuat perubahan. Masukkan kata sandi Anda untuk mengizinkan ini.” Setelah kata sandi dimasukkan, kata sandi tersebut divalidasi melalui API PAM, sehingga lebih sulit dideteksi oleh para pembela malware.
Selain itu, malware ini dapat memberikan akses disk penuh kepada aktor jahat atau menyuntikkan kode yang dirancang untuk mengakses akun Ethereum. “Bersama-sama, perilaku ini menggambarkan bagaimana pencuri macOS komoditas terus berevolusi, mengadopsi rantai eksekusi yang lebih senyap dan implementasi asli yang mengurangi peluang deteksi tradisional sambil tetap kompatibel dengan fitur macOS standar,” kata Jamf.
Cara Tetap Aman dari PamStealer
Pertama dan terutama, Maccy adalah aplikasi asli yang sah dan cukup populer. Jika Anda tertarik untuk memeriksa aplikasi tersebut, satu-satunya situs web asli adalah maccy.app. Jamf menemukan Maccy palsu dihosting di maccyapp.com, sebuah situs yang tidak boleh Anda kunjungi.
Kedua, ini adalah pengingat yang baik untuk memeriksa ulang URL situs web. Khusus untuk aplikasi macOS, Anda juga dapat melihat apakah aplikasi yang dimaksud tersedia di Apple App Store. Maccy, misalnya, tersedia di App Store. Apple masih merupakan taman yang cukup tertutup, jadi jika Anda mencari sesuatu dan ingin memastikannya asli, disarankan untuk memulai dari sana sebelum menjelajahi internet lebih jauh.
Selain itu, Mac Anda memang dilengkapi dengan perangkat lunak keamanan bawaan dalam bentuk XProtect. Namun jika Anda membutuhkan perlindungan ekstra, mungkin ada baiknya berinvestasi pada salah satu solusi perangkat lunak antivirus Mac terbaik untuk dijalankan bersamaan.
Kehadiran PamStealer menjadi pengingat bahwa ancaman malware terus berkembang dan menargetkan ekosistem yang sebelumnya dianggap aman seperti macOS. Pengguna Mac kini harus lebih waspada terhadap tautan mencurigakan dan aplikasi dari sumber tidak resmi.
Ancaman serupa juga dapat menyerang platform lain. Misalnya, Serangan Malware Pajak Palsu juga mengincar korban dengan modus yang berbeda. Selain itu, ClickFix Malware Baru juga menipu pengguna dengan tampilan update Windows palsu.





Komentar
Belum ada komentar.