Walaupun macOS terkenal tahan terhadap virus, tapi banyak sekali sebenarnya Ransomware atau Malware yang bisa menginfeksinya. Malware mencuri informasi baru bernama MetaStealer yang telah muncul mencuri berbagai macam informasi sensitif dari komputer macOS berbasis Intel. MetaStealer berbeda dengan pencuri informasi META yang sempat populer, itu malware berbasis Go yang mampu menghindari teknologi antivirus bawaan Apple, XProtect, dan menargetkan pengguna bisnis.
SentinelOne melaporkan bahwa mereka telah melacak malware tersebut selama beberapa bulan terakhir dan melihat adanya keterlibatan rekayasa sosial yang tidak biasa dalam distribusinya. Meskipun malware ini memiliki beberapa kesamaan dengan Atomic Stealer, macOS berbasis Go lainnya yang menargetkan pencuri informasi, kode yang tumpang tindih terbatas, dan metode pengirimannya berbeda.
Oleh karena itu, SentinelOne menyimpulkan bahwa malware MetaStealer adalah operasi terpisah.
Malware MetaStealer menyerang sistem macOS
SentinelOne menemukan sampel malware di VirusTotal dengan komentar yang menyatakan pelaku ancaman MetaStealer menghubungi bisnis dan menyamar sebagai klien perusahaan untuk mendistribusikan malware.
Terlampir pada email phishing adalah file gambar disk yang ketika dipasang pada sistem file, berisi file executable bernama palsu yang muncul sebagai file PDF untuk mengelabui korban agar membukanya.
SentinelOne telah mengamati DMG yang diberi nama berdasarkan perangkat lunak atau pekerjaan klien Adobe, contohnya sebagai berikut:
- Advertising terms of reference (MacOS presentation).dmg
- CONCEPT A3 full menu with dishes and translations to English.dmg
- AnimatedPoster.dmg
- Brief_Presentation-Task_Overview-(SOW)-PlayersClub.dmg
- AdobeOfficialBriefDescription.dmg
- Adobe Photoshop 2023 (with AI) installer.dmg
Bundel aplikasi malware berisi hal-hal penting yaitu file Info.plist, folder Resources dengan gambar ikon, dan folder macOS dengan executable Mach-O berbahaya. Tak satu pun sampel yang diperiksa oleh SentinelOne signed, meskipun beberapa versi menampilkan ID Pengembang Apple.
Kemampuan Malware MetaStealer
MetaStealer mencoba mencuri informasi yang disimpan di sistem yang disusupi termasuk kata sandi, file, dan data aplikasi, lalu mencoba mengekstraknya melalui TCP melalui port 3000. Secara khusus, fungsi fitur malware memungkinkan untuk mengeksfiltrasi keychain dan mengekstrak kata sandi yang disimpan, mencuri file dari sistem, dan menargetkan layanan Telegram dan Meta (Facebook).
Keychain adalah sistem manajemen kata sandi tingkat sistem untuk macOS, mengelola kredensial untuk situs web, aplikasi, jaringan WiFi, sertifikat, kunci enkripsi, informasi kartu kredit, dan bahkan catatan pribadi. Oleh karena itu, eksfiltrasi konten keychain adalah fitur canggih yang dapat memberikan penyerang akses ke data sensitif.
Dalam versi saat ini, MetaStealer hanya berjalan pada arsitektur Intel x86_64, yang berarti tidak dapat menyusupi sistem macOS yang berjalan pada prosesor Apple Silicon (M1, M2) kecuali korban menggunakan Rosetta untuk menjalankan malware. Hal ini mengurangi ancaman dan membatasi jumlah calon korban yang semakin berkurang seiring dengan dihapuskannya komputer Apple berbasis Intel.
Namun MetaStealer mungkin merilis versi baru yang menambahkan dukungan asli untuk Apple Silicon, jadi ini merupakan ancaman yang harus diwaspadai.
