Malware Tarmac Sasar Pengguna macOS via Malvertising
Ilustrasi | Foto: The Hacker News
Cyberthreat.id – Peneliti keamanan siber menemukan bagian baru dari malware Mac. Bernama Tarmac (OSX/Tarmac), malware baru ini didistribusikan ke pengguna macOS melalui kampanye malvertising online (iklan jahat).
Iklan tersebuti menjalankan kode jahat di dalam peramban (browser) pengguna Mac untuk mengarahkan calon korban ke situs web yang menampilkan iklan pop-up yang menjajakan pembaruan peranti lunak, biasanya untuk Adobe Flash Player.
Korban yang tertarik dengan trik ini dan mengunduh pembaruan Flash Player pada akhirnya akan menginstal duo malware pada sistem mereka yaitu pertama malware OSX / Shlayer, kemudian OSX / Tarmac yang diluncurkan oleh malware pertama.
Kampanye malvertising ini mendistribusikan combo Shlayer + Tarmac dimulai pada Januari 2019, menurut Taha Karim seorang peneliti keamanan siber Confiant, perusahaan keamanan siber spesialis kampanye iklan jahat, seperti diberitakan ZDNet, Jumat (11 Oktober 2019).
Pada Januari 2019, Confiant menerbitkan laporan tentang kampanye malvertising dan mereka hanya melihat malware Shlayer, bukan Tarmac.
Sementara dalam laporan terbaru dua pekan lalu, Confiant menggali lebih dalam dalam kampanye periklanan yang masih berlangsung.
Menurut peneliti, setelah Shlayer mengunduh dan menginstal Tarmac pada host yang terinfeksi, Tarmac mengumpulkan rincian tentang pengaturan perangkat keras korban dan mengirimkan info ini ke server perintah dan kontrolnya.
Pada titik ini, Tarmac akan menunggu perintah baru, tapi karena server ini tidak tersedia. Di sinilah, peneliti menjelaskan, sulit menentukan cakupan penuh di belakang Tarmac.
Secara teori, sebagian besar strain malware tahap kedua biasanya merupakan strain malware yang sangat kuat, yang memiliki banyak fitur mengganggu. Tarmac, setidaknya, secara teori, harus menjadi ancaman yang sangat berbahaya.
Namun, untuk saat ini, hal itu masih penuh misteri.
Karim mengatakan, kampanye malvertising yang mendistribusikan kombo Shlayer dan Tarmac menargetkan pengguna di AS, Italia, dan Jepang.
Sementara AS dan Jepang adalah target reguler untuk kampanye periklanan dan malware, Italia agaknya merupakan pilihan yang aneh.
"Kami pikir para aktor melanjutkan dengan coba-coba, dan mereka mungkin telah menemukan titik manis di Italia, antara keuntungan yang dapat mereka petik dan tingkat perhatian dari komunitas keamanan," kata Karim kepada ZDNet.
Karena muatan Tarmac datang ditandatangani oleh sertifikat pengembang Apple yang sah, fitur seperti Gatekeeper dan XProtect tidak akan menghentikan instalasi atau menunjukkan kesalahan apa pun.
Pengguna dan perusahaan yang ingin melihat apakah mereka memiliki sistem Mac yang terinfeksi oleh malware ini dapat menemukan indikator kompromi (IoC) dalam laporan Tarmac Karim.
