Microsoft Ungkap Taktik Empat Ransomware Yang Menargetkan macOS
illustrasi
Cyberthreat.id – Tim Intelijen Ancaman Keamanan Microsoft mengungkapkan taktik yang digunakan oleh empat ransomware, yakni KeRanger, FileCoder, MacRansom, dan EvilQuest, untuk menargetkan sistem macOS Apple.
“Meskipun keluarga malware ini sudah tua, mereka menunjukkan berbagai kemampuan dan perilaku jahat yang mungkin ada di platform,” ungkap Microsoft seperti yang dikutip dari The Hacker News.
Microsoft menjelaskan, vector wal untuk keluarga ransomware ini melibatkan apa yang disebut pembuat Windows sebagai "metode bantuan pengguna", di mana korban mengunduh dan menginstal aplikasi trojan. Alternatifnya, mereka bisa muncul sebagai muatan tahap kedua yang dijatuhkan oleh malware yang sudah ada di host yang terinfeksi atau sebagai bagian dari serangan rantai pasokan.
Terlepas dari modus operandi yang digunakan, serangan berlanjut dengan cara yang sama, dengan pelaku ancaman mengandalkan fitur sistem operasi yang sah dan mengeksploitasi kerentanan untuk membobol sistem dan mengenkripsi file yang diinginkan. Ini termasuk penggunaan utilitas find Unix serta fungsi perpustakaan seperti opendir, readdir, dan closedir untuk menghitung file. Metode lain yang disentuh oleh Microsoft, tetapi tidak diadopsi oleh jenis ransomware, memerlukan antarmuka NSFileManager Objective-C.
“KeRanger, MacRansom, dan EvilQuest juga telah diamati menggunakan kombinasi pemeriksaan berbasis perangkat keras dan perangkat lunak untuk menentukan apakah malware berjalan di lingkungan virtual dalam upaya untuk menolak upaya analisis dan debugging,” terang Microsoft.
Menurut Microsoft, KeRanger, khususnya, menggunakan teknik yang dikenal sebagai eksekusi tertunda untuk lolos dari deteksi. Ini dicapai dengan tidur selama tiga hari setelah diluncurkan sebelum memulai fungsi jahatnya. Ketekunan, yang penting untuk memastikan bahwa malware dijalankan bahkan setelah sistem dimulai ulang, dibuat melalui agen peluncuran dan antrian kernel, kata Microsoft.
Sementara FileCoder menggunakan utilitas ZIP untuk mengenkripsi file, KeRanger menggunakan enkripsi AES dalam mode cipher block chaining (CBC) untuk mencapai tujuannya. Baik MacRansom dan EvilQuest, di sisi lain, memanfaatkan algoritme enkripsi simetris.
EvilQuest, yang pertama kali diekspos pada Juli 2020, melampaui ransomware biasa untuk menggabungkan fitur mirip trojan lainnya, seperti keylogging, mengkompromikan file Mach-O dengan menyuntikkan kode arbitrer, dan menonaktifkan perangkat lunak keamanan. Itu juga mengemas kemampuan untuk mengeksekusi file apa pun langsung dari memori, secara efektif tidak meninggalkan jejak muatan pada disk.
"Ransomware terus menjadi salah satu ancaman paling lazim dan berdampak yang memengaruhi organisasi, dengan penyerang terus-menerus mengembangkan teknik mereka dan memperluas keahlian mereka untuk menyebarkan jaring target potensial yang lebih luas," kata Microsoft.
