Musuh Nomor 1 Sistem MacOS: Trojan Shlayer

Cyberthreat.id – Tak ada gading yang tak retak. Peribahasa klasik ini tampaknya cukup untuk menggambarkan apa yang sedang dialami sistem operasi milik Apple, MacOs.

Selama ini, pengguna Mac umumnya cenderung terlindungi dari serangan perangkat lunak jahat (malicious software/malware) dan ancaman online ketimbang pengguna sistem operasi Windows.

Namun, dalam dua tahun terakhir, pengembang MacOS  akhirnya mendapati lawan yang sepadan. Sekali lagi, ini menunjukkan bahwa selalu ada cela dalam segala sesuatu, sekecil apa pun itu.

Ancaman itu datang dari Trojan Shlayer, senjata malware yang mendistribusikan iklan jahat (malvertising) pada sistem MacOS.

Tujuan utama Shlayer adalah untuk mengambil dan menginstal berbagai varian adware. Sampel tahap kedua ini membombardir pengguna dengan iklan, dan juga mencegat pencarian browser untuk memodifikasi hasil pencarian untuk mempromosikan lebih banyak iklan.

Shlayer membawa produk adware (advertising software) atau perangkat lunak yang dibuat khusus untuk memunculkan iklan, seperti AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit, dan AdWare.OSX.Cimpli.

Pertama kali muncul pada Februari 2018 dan langsung menjadi ancaman paling banyak didistribusikan penjahat di platform MacOS, demikian laporan Kaspersky yang melacak perilaku malware tersebut, seperti dikutip dari Dark Reading, Kamis (23 Januari 2020). Bisa baca laporan Kaspersky di sini.

Media daring teknologi ThreatPost menjulukinya sebagai “ancaman nomor satu Mac tahun ini”.

Dalam penelitiannya, Kaspersky mengumpulkan sampel 32.000 Trojan jahat ini dan mengidentifikasi 143 domain server perintah dan kontrol (C2).

Yang paling terkena dampak kampanye serangan Shlayer, menurut Kaspersky, adalah pengguna MacOS di Amerika Serikat, Jerman, Perancis, dan Inggris.

Shlayer saat ini masih aktif. Menurut peneliti, pada tahun lalu, serangan malware ini menyumbang hampir 30 persen dari semua serangan pada perangkat MacOS yang dipakai perusahaan.

Situs web mitra

Yang paling mengejutkan dari sepak terjang malware ini adalah masa hidupnya yang berkelanjutan.

Shlayer memiliki trik distribusi yang luar biasa besar. Peneliti mencatat saat ini lebih dari 1.000 situs web menjadi “mitra” untuk mendistribusikan Shlayer.

Situs web mitra itu dibayar dengan tawaran cukup tinggi untuk setiap kali unduhan. Kaspersky tidak menyebutkan berapa nilai bayaran tersebut.

Sebagian besar kampanye berkutat pada tema hiburan. Pengguna web yang tidak sadar mencari, katakanlah, episode serial TV populer atau siaran olahraga akan dialihkan ke situs palsu yang mengklaim menawarkan aliran konten; pada kenyataannya, tautan di situs mendorong malware.

“Pengguna yang tak curiga dengan situs web tersebut—banyak di antaranya situs web menawarkan produk bajakan—biasanya dialihkan ke halaman pembaruan Flash Player palsu dari tempat malware diunduh pada sistem MacOS,” tutur Vladimir Kuskov, Kepala Penelitian Ancaman Tingkak Lanjut dan Klasifikasi Perangkat Lunak Kaspersky.

Shlayer didistribusikan dalam berbagai cara lain, termasuk tautan berbahaya (malicious link) ke situs pembaruan Adobe Flash palsu yang disematkan dalam referensi artikel di Wikipedia dan deskripsi video di YouTube.

Peneliti sejauh ini menemukan tautan setidaknya ke 700 domain berbahaya untuk mengunduh Shlayer yang disembunyikan di berbagai situs yang sah.

“Pengguna yang mencari konten bajakan lebih mungkin terinfeksi,” kata Kuskov.

Berbahayakah?
Shlayer didistribusikan dengan kedok installer Flash Player dan, pada pandangan pertama, terlihat cukup sah. Selanjutnya, layaknya penginstal lain, Shlayer menginstal adware sebagai perangkat lunak yang sah.

Namun, Shlayer tidak secara otomatis memuat adware.

Pengguna (calon korban) harus secara aktif mengklik dan mengunduh penginstal agar dapat dimuat di sistem MacOS.

Kuskov mengatakan, untuk bisa membujuk pengguna mengklik dan mengunduh, para penjahat tersebut melakukan berbagai trik trik rekayasa sosial (social hacking) untuk mengarahkan pengguna ke situs pembaruan Flash Player palsu agar pengguna mengunduh malware tersebut.

Menurut Kuskov, Shlayer sendiri sebetulnya tidak begitu gigih pada sistem yang terinfeksi. Seorang pengguna yang menemukan malware tersebut, kata dia, dapat dengan mudah menghapus file instalasi untuk menghilangkannya.

"Sangat penting untuk memahami bahwa Shlayer itu sendiri hanya melakukan tahap awal serangan, untuk menembus sistem, memuat muatan utama, dan menjalankannya," kata Kuskov.

Masalah sebenarnya adalah adware yang diinstalnya.

Pengguna umum MacOs, yang tak memiliki pengetahuan cukup, menurut Kuskov, sulit untuk menghapus adware tersebut. Masalah ini sangat menantang karena beberapa keluarga adware dapat diinstal oleh Shlayer pada satu sistem.

Juga, beberapa adware seperti AdWare.OSX.Cimpli dapat mencegat lalu lintas HTTP dan HTTPS pengguna dan menyuntikkan kode ke halaman Web yang diminta oleh pengguna.

"Secara teori, itu berarti bahwa Cimpli dapat mencuri data apa pun yang dimasukkan oleh pengguna di halaman web," kata Koskov.

Meski begitu, Shlayer relatif tidak berbahaya dibandingkan dengan malware lain yang lebih merusak. Ini juga merupakan contoh bagaimana penyerang terus mencari cara untuk mendapatkan uang dengan menyerang sistem MacOS.

Sejak 2012 hingga kini, tiap tahun volume file berbahaya maupun yang potensial telah berlipat ganda menargetkan MacOS. "Pengguna MacOS semakin menerima adware yang mengganggu, tetapi kurang berbahaya," kata Kuskov.

"Tampaknya cara memonetisasi infeksi ini memungkinkan penyerang mendapatkan lebih banyak keuntungan dan menghemat biaya," ia menambahkan.[]