Waspada, Trojan MacOS Menyamar Jadi Aplikasi Perdagangan Sah
Ilustrasi | Foto: Freepik
Tokyo,Cyberthreat.id- Para peneliti Trend Micro, sebuah perusahaan siber security menemukan sebuah malware yang menyamar sebagai aplikasi yang sah untuk perdagangan.
Malware yang diidentifikasi sebagai Trojan.MacOS.GMERA tersebut merupakan perangkat lunak, yang berperan sebagai Stockfolio aplikasi perdagangan berbasis Mac.
Tetapi berisi skrip shell yang memungkinkannya melakukan aktivitas berbahaya. Hingga saat ini, dua sampel malware telah ditemukan, dan terdapat kemungkinan untuk melakukkan evolusi ancaman.
Dikutip dari SecurityWeek, Senin, (23 September 2019), sampel pertama, adalah file arsip ZIP yang berisi bundel aplikasi (Stockfoli.app) dan file terenkripsi tersembunyi (.app).
Bahkan, salinan Stockfolio sah versi 1.4.13 yang ditandatangani dengan sertifikat digital pengembang malware disertakan dalam arsip tersebut.
"Ketika dieksekusi, ancaman tersebut menampilkan antarmuka aplikasi perdagangan di layar, tetapi juga mengeksekusi skrip shell yang dibundel dalam direktori resources,” tulis para peneliti.
Para peneliti menjelaskan, skrip pertama bertugas mengumpulkan berbagai informasi tentang sistem yang terinfeksi, termasuk nama pengguna, alamat IP, Aplikasi, file, Dokumen, Desktop, tanggal instalasi OS, disk sistem file, disk sistem file penggunaan ruang, informasi grafik, informasi jaringan nirkabel, dan tangkapan layar.
"Data yang dikumpulkan dikodekan dan disimpan dalam file tersembunyi, kemudian dikirim ke server penyerang. Jika tanggapan diterima dari server, itu akan ditulis ke file lain yang tersembunyi,” jelas para peneliti.
Sedangkan, skrip kedua yang dijalankan oleh malware bertanggung jawab untuk menyalin file tambahan, serta dengan mendekode dan menghapus beberapa file lainnya.
Ia juga memeriksa file tersembunyi yang berisi respons server dan menggunakan kontennya untuk mendekripsi file yang dicurigai Trend Micro berisi rutinitas jahat tambahan.
Juga menggunakan salinan Stockfolio versi 1.4.13 untuk menyembunyikan niat jahatnya, sampel kedua berisi rutin yang jauh lebih sederhana.
Itu akan mengeksekusi skrip tunggal dimaksudkan untuk mengumpulkan nama pengguna dan alamat IP dari mesin yang terinfeksi dan mengirim informasi ke server penyerang.
"Mengingat perubahan yang kami lihat dari iterasi awal varian malware ke perubahan saat ini, kami melihat tren di mana penulis malware telah menyederhanakan rutinitasnya dan menambahkan kemampuan lebih lanjut. Mungkin saja orang-orang di belakangnya mencari cara untuk membuatnya lebih efisien - bahkan mungkin menambahkan mekanisme penghindaran di masa depan,” ungkap para peneliti.
