Pengguna macOS harus waspada, ada malware yang menyamar sebagai Pembaruan Visual Studio

Techno.id - Buat kamu pengguna macOS harus waspada nih. Baru-baru ini ditemukan malware bernama RustDoor. Malware baru yang menargetkan pengguna macOS ini tidak terdeteksi selama 3 bulan, dan menyamar sebagai Pembaruan Microsoft Visual studio.

Malware tersebut ditemukan Bitdefender. Sebuah laporan pembuat antivirus populer mengatakan bahwa RustDoor, ditulis dalam bahasa pemrograman Rust. Produk Bitdefender mengidentifikasi malware tersebut sebagai Trojan.MAC.RustDoor.

RustDoor pertama kali ditemukan pada November 2023. Bitdefender mengatakan bahwa malware tersebut masih beredar di internet, sampel terbaru terlihat pada 2 Februari 2024.

Malware RustDoor meniru Pembaruan Visual Studio, untuk mengelabui pengguna agar mengunduhnya. Pembaruan palsu berisi binari FAT dengan file Mach-0 ini dapat memengaruhi Mac berbasis Intel dan Mac Apple Silicon. Tetapi file tersebut tidak memiliki induk lain seperti Bundel Aplikasi, Image Disk, mungkin untuk tetap disembunyikan dari pengguna.

Sampel diidentifikasi dengan nama zshrc2, Previewers, VisualStudioUpdater, VisualStudioUpdater_Patch, VisualStudioUpdating, visualstudioupdate, dan DO_NOT_RUN_ChromeUpdates.

Pembaruan palsu bukanlah teknik baru, penyerang telah menggunakan trik seperti itu di masa lalu untuk menginfeksi pengguna Windows. Selama beberapa tahun terakhir, mereka juga mulai menargetkan pengguna Mac dengan metode canggih.

Faktanya, trik serupa digunakan untuk mendistribusikan malware Pencuri Atom di macOS, yang dikirimkan melalui pembaruan browser palsu. Pengguna yang tidak curiga mungkin percaya bahwa itu adalah pembaruan asli untuk browser mereka, dan malware akan menginfeksi komputer mereka.

Malware macOS

Kemampuan malware RustDoor

foto: freepik/biancoblue

Bitdefender mengatakan bahwa ada beberapa varian RustDoor, dan mereka berbagi beberapa fungsi. Malware ini dapat bertahan dan menggunakan teknik penghindaran kotak pasir untuk melewati keamanan macOS.

Peneliti mencatat bahwa sintaks dan semantik Rust berbeda dari bahasa pemrograman umum seperti C, Python, yang dapat mempersulit peneliti untuk menganalisis dan mendeteksi kode berbahaya. Hal ini pada gilirannya dapat membantu malware menghindari deteksi, yang mungkin menjelaskan mengapa malware tersebut berkeliaran tanpa terdeteksi selama tiga bulan terakhir.

Kode sumber malware RustDoor berisi perintah yang memungkinkannya mengumpulkan dan mengunggah file. Ini juga mengumpulkan informasi tentang komputer. Beberapa konfigurasi malware memiliki instruksi khusus tentang data yang akan dikumpulkannya, termasuk jumlah maksimum file, ukuran file, daftar ekstensi dan direktori yang ditargetkan, dan folder yang akan dikecualikan.

Skrip berbahaya dirancang untuk mengekstrak data dari Dokumen, folder Desktop, catatan pengguna, dan ini disalin ke folder tujuan. File-file tersebut dikompresi menjadi arsip ZIP dan muatannya dikirim ke server perintah-dan-kontrol (C2).

Malware ini juga mampu mengunduh file dari server untuk membahayakan keamanan sistem. Sebanyak 4 server C2 tampaknya telah digunakan dalam serangan tersebut, tiga di antaranya sebelumnya telah dikaitkan dengan grup ransomware.

Bitdefender mengatakan bahwa mereka tidak memiliki cukup data untuk mengaitkan kampanye RustDoor dengan aktor ancaman tertentu. Tetapi laporan tersebut mengatakan bahwa artefak dan indikator kompromi (IOC) menunjukkan bahwa itu dapat dikaitkan dengan operator ransomware BlackBasta dan (ALPHV/BlackCat) yang telah menargetkan PC Windows di masa lalu.