Pengembang Malware Mac Apple Mulai Bawa Adware Berbahaya

Cyberthreat.id – Muncul varian baru dari trojan komputer Mac Apple yang dikenal UpdateAgent alias WizardUpdate.

Perangkat lunak jahat (malware) yang meniru aplikasi sah, seperti Mac Agent support dan perangkat lunak video, itu pertama kali terlihat pada September 2020.

Malware disebarkan melalui unduhan drive-by atau pop-up iklan dan pembaruan palsu untuk Adobe Flash Player, aplikasi yang telah lama tak lagi mendapatkan pembaruan.

Peneliti Microsoft menganalisis varian terbaru dan menemukan trojan itu berisi kemampuan yang diperluas untuk menginstal muatan tambahan yang di-hosting pada infrastruktur cloud publik tepercaya, seperti Amazon S3 dan CloudFront.

Alih-alih menggunakan file .zip atau gambar disk yang dapat dipasang (file DMG) untuk mengambil muatan tambahan seperti sebelumnya, versi baru UpdateAgent dapat menggunakan kedua jenis file. ‎

‎Pada malware yang diamati Oktober 2021, terdapat muatan tambahan UpdateAgent, seperti Adload, sebuah trojan yang sangat tangguh untuk menginstal aplikasi dan loader iklan di Mac. Malware yang memiliki lebih dari 100 sampel unik ini terkenal karena pembaruannya yang selalu ‎‎selangkah lebih maju‎‎ dari teknologi anti-malware XProtect bawaan Apple dan kontrol keamanan lainnya.‎

‎Analisis Microsoft menyebut, malware telah mengubah kemampuannya untuk mempertahankan diri pada sistem yang diretas sambil menghindari deteksi.‎

‎Versi Oktober tersebut ialah UpdateAgent/WizardUpdate 5.0. Sebelumnya versi 1.0 ditemukan pada September 2020. Malware kala itu hanya dirancang untuk mengumpulkan informasi dasar dari perangkat yang terinfeksi dan tetap berhubungan dengan server command-and-control (C2) jarak jauh milik peretas.

Versi 2.0 pengembang malware menambahkan fitur untuk mengambil muatan sekunder, bertahan selama mungkin di perangkat terinfeksi, dan, melewati “Gatekeeper”, teknologi macOS untuk memastikan bahwa hanya perangkat lunak tepercaya yang dapat berjalan di Mac.‎

‎Dalam prosesnya, malware telah berevolusi dari pencuri informasi yang belum sempurna menjadi alat yang disempurnakan untuk mendistribusikan adware dan muatan lain yang berpotensi lebih berbahaya pada sistem yang menjalankan macOS. ‎

Phil Stokes, peneliti keamanan di SentinelOne yang fokus meneliti malware Mac, menggambarkan UpdateAgent / WizardUpdate sebagai malware relatif baru untuk kategori adware/bundleware yang memang ramai untuk dipakai menyerang Mac.

Penelitian tahun lalu oleh perusahaan keamanan, Jamf, menunjukkan ‎‎adware terus menjadi ancaman yang jauh lebih besar‎‎ bagi pengguna Mac daripada bentuk malware lainnya. Perusahaan menemukan bahwa 10 ancaman teratas yang ditujukan pada pengguna Mac pada saat penelitian semuanya terkait adware. ‎

Pengembang UpdateAgent / WizardUpdate, kata Stokes, kemungkinan menjual layanan "bayar per instal" kepada pihak lain.‎

‎"Kami yakin itu akan ada untuk beberapa waktu mendatang selama mereka berhasil menginfeksi pengguna Mac yang tak aman," kata Stokes, dikutip dari Dark Reading, diakses Jumat (4 Februari 2022).‎[]