Sebuah kampanye serangan cyber canggih baru saja diungkap Microsoft yang mana serangan ini menargetkan pengguna MacOS.
Nah menurut pengumumannya, metode yang digunakan ini bukan eksploitasi bug, melainkan lebih ke social engineering melalui lowongan kerja palsu untuk memikat korban.
Jadi kawan-kawan, menurut laporan dari Microsoft Threat Intelligence, serangan ini dilakukan oleh grup hacker asal Korea utara bernama Sapphire Sleet. Skemanya cukup rapi, hacker akan membuat profile recruiter palsu, kemudian target dihubungi dengan tawaran kerja, dan korban akan diundang dalam sesi interview online.
Nah saat interview tersebut berlangsung, korban akan diminta menginstall file bernama Zoom SDK Update.scpt seolah itu merupakan bagian dari proses teknis.
Namun, file tersebut sebenarnya adalah AppleScript yang akan terbuka di Script Editor bawaan MacOS, sekilas memang terlihat normal, namun script ini berisi ribuan baris kode dengan malware yang disisipkan dibagian tertentu. Saat korban diminta menjalankan script tersebut, serangan langsung dimulai.
Apa saja Data Yang Dicuri?
Jika serangan ini berhasil, maka ada cukup banyak data yang dicuri oleh pelaku termasuk diantaranya :
- Informasi sistem dan perangkat
- Aplikasi yang terpasang
- Data browser dan extension
- Session Telegram
- macOS Keychain (password tersimpan)
- Crypto wallet
- SSH key & history terminal
- Catatan di Apple Notes
- Log sistem
Dan selain itu, malware juga akan memasang backdoor agar tetap bisa mengakses perangkat korban dikemudian hari.
Nah mendapati hal ini, Microsoft langsung melaporkannya ke Apple dan Apple kemudian memperkuat keamanan di macOS dan Safari browser, selain itu, Microsoft juga memperbarui Defender agar bisa mendeteksi ancaman ini.
Untuk mencegah dan mendeteksi ancaman ini lebih awal, perusahaan disarankan untuk melakukan blocking pada IoC / Indicator of Compromise berikut.
Malicious file hashes
| File | SHA-256 |
| /Users/<user>/Downloads/Zoom SDK Update.scpt | 2075fd1a1362d188290910a8c55cf30c11ed5955c04af410c481410f538da419 |
| /Users/<user>/com.apple.cli | 05e1761b535537287e7b72d103a29c4453742725600f59a34a4831eafc0b8e53 |
| /Users/<user>/Library/Services/services services / icloudz | 5fbbca2d72840feb86b6ef8a1abb4fe2f225d84228a714391673be2719c73ac7 |
| com.google.chromes.updaters | 5e581f22f56883ee13358f73fabab00fcf9313a053210eb12ac18e66098346e5 |
| com.google.webkit.service.plist | 95e893e7cdde19d7d16ff5a5074d0b369abd31c1a30962656133caa8153e8d63 |
| /private/tmp/SystemUpdate/systemupdate.app/Contents/MacOS/Mac Password Popup | 8fd5b8db10458ace7e4ed335eb0c66527e1928ad87a3c688595804f72b205e8c |
| /private/tmp/SoftwareUpdate/softwareupdate.app/Contents/MacOS/Mac Password Popup | a05400000843fbad6b28d2b76fc201c3d415a72d88d8dc548fafd8bae073c640 |
Domains and IP addresses
| Domain | IP address | Port | Purpose |
| uw04webzoom[.]us | 188.227.196[.]252 | 443 | Payload staging |
| check02id[.]com | 83.136.210[.]180 | 5202 | chromes.updaters |
| 83.136.208[.]246 | 6783 | com.apple.cli invocated with IP and port and beacon | |
| 83.136.209[.]22 | 8444 | Downloadsservices backdoor | |
| 83.136.208[.]48 | 443 | services invoked with IP and port | |
| 104.145.210[.]107 | 6783 | Exfiltration |
Nah jadi, untuk kamu yang sedang mencoba mencari kerja terutama di luar negeri, diharapkan berhati hati akan modus seperti ini karena meskipun mungkin saja metode seperti ini cukup banyak dilakukan.
Bagaimana menurutmu? komen dibawah guys.
Via : Microsoft
Catatan Penulis : WinPoin sepenuhnya bergantung pada iklan untuk tetap hidup dan menyajikan konten teknologi berkualitas secara gratis — jadi jika kamu menikmati artikel dan panduan di situs ini, mohon whitelist halaman ini di AdBlock kamu sebagai bentuk dukungan agar kami bisa terus berkembang dan berbagi insight untuk pengguna Indonesia. Kamu juga bisa mendukung kami secara langsung melalui dukungan di Saweria. Terima kasih.
