Hacker Lazarus Terciduk Gunakan Empat Varian Malware Mengincar Mac
Ilustrasi
Cyberthreat.id - Peneliti keamanan SentinelOne mengungkap empat varian malware Mac terbaru yang terkait dengan kelompok peretas asal Korea Utara. Menurut para peneliti, kelompok ini sudah aktif lebih dari satu dekade dan dikenal dengan sebutan Hidden Cobra alias Lazarus.
Lazarus diketahui telah menargetkan pengguna Mac dalam serangan cyber bermotivasi finansial. Kelompok ini juga menargetkan pertukaran cryptocurrency dalam operasi yang disebut "AppleJeus".
Sejumlah varian malware terbaru yang dimanfaatkan Lazarus dalam berbagai serangan termasuk versi macOS dari DaclsRAT dan kerangka kerja (framework) MATA lintas platform yang juga menargetkan sistem Windows dan Linux.
SentinelOne menyatakan dalam laporannya bahwa versi DaclsRAT yang lebih baru digunakan pada tanggal 1 April saat rilis platform macOS yang lebih baru. Ini menunjukkan bahwa pembuat malware mengikuti pembaruan macOS.
Malware ini didistribusikan sebagai aplikasi one-time-password (OTP) trojanized bernama TinkaOTP, dengan dua varian. Salah satunya membawa muatan di folder sumber daya, sementara yang lain mengunduhnya dari server perintah dan kontrol (C&C).
Selain malware DaclsRAT, para peneliti juga mengamati malware yang terkait dengan kerangka kerja MATA. Lazarus menggunakan malware yang ditanam pada perangkat lunak yang terkait dengan cryptocurrency, seperti CoinGoTrade dan Cryptoistic, yang masing-masing ditulis dalam Objective-C dan Swift.
Tak hanya itu, Lazarus juga menggunakan backdoor dalam Objective-C dan C dan disebut sebagai OSX.Casso, yang juga memiliki mitra Windows. Backdoor tersebut mewakili evolusi dari Flash Player yang dapat di-eksekusi dengan mudah.
Baru-baru ini, Lazarus diamati beroperasi menggunakan dua varian malware baru yang disebut WatchCat dan MediaRemote, berdasarkan string yang diamati untuk "com.apple.watchcat.plist" dan "MediaRemote.app". Peneliti mendeteksi ancaman dua Malware ini terus meningkat dalam 14 hari terakhir.
Berdasarkan sampel yang ditemukan, terdapat kode yang tumpang tindih dengan backdoor sebelumnya dan aplikasi OTP trojanized. Tetapi, malware ini belum terlihat dalam sampel lain, termasuk penggunaan WebShell dan meja onboard crc32 untuk mendekripsi file konfigurasi.
"Semua sampel yang ditinjau di atas telah muncul dalam delapan hingga sepuluh pekan terakhir dan menjadi bukti bahwa pelaku di balik kelompok Lazarus mengggelar berbagai operasi berbeda, menggunakan berbagai teknologi, dan mereka sendiri mengikuti perkembangan terbaru Apple." []
Redaktur: Arif Rahman
