Aplikasi bajakan yang ditargetkan pada pengguna Apple macOS diketahui menyimpan ancaman serius dengan mengandung backdoor yang memungkinkan penyerang mengambil kendali jarak jauh terhadap mesin yang terinfeksi. Peneliti dari Jamf Threat Labs, Ferdous Saljooki dan Jaron Bradley, mengungkapkan temuan ini kepada The Hacker News.

“Aplikasi ini di hosting di situs pembajakan China untuk mendapatkan korban,” ujar Saljooki dan Bradley. “Setelah diunduh, malware akan menyusup ke mesin korban dengan mendownload dan menjalankan beberapa muatan di latar belakang.”

Disk image (DMG) yang telah dimodifikasi ini, yang diberi nama “Backdoored,” dapat berkomunikasi dengan infrastruktur yang dikendalikan oleh penyerang. DMG ini mencakup perangkat lunak sah seperti Navicat Premium, UltraEdit, FinalShell, SecureCRT, dan Microsoft Remote Desktop.

Aplikasi yang tidak ditandatangani ini, selain di hosting di situs web bernama macyy[.]cn di China, juga mengandung komponen dropper yang disebut “dylib” yang dijalankan setiap kali aplikasi dibuka.

Baca Juga : Pangeran Harry dan Meghan Markle Desak Perusahaan Media Sosial Tangani Ancaman Siber Bagi Anak

Dropper tersebut berfungsi sebagai saluran untuk mengunduh backdoor (“bd.log”) dan pengunduh (“fl01.log”) dari server jarak jauh. Hal ini digunakan untuk menetapkan persistensi dan mengambil muatan tambahan pada mesin yang terinfeksi.

Backdoor, yang tertulis di jalur “/tmp/.test,” memiliki fitur lengkap dan dibangun di atas perangkat pasca-eksploitasi sumber terbuka yang dikenal sebagai Khepri. Lokasi “/tmp” menunjukkan bahwa backdoor ini akan dihapus saat sistem dimatikan, tetapi akan dibuat kembali saat aplikasi bajakan dimuat ulang dan dropper dijalankan.

Meskipun server yang digunakan tidak dapat diakses lagi, pengunduh ini dirancang untuk menulis respons HTTP ke file baru di “/tmp/.fseventsds” dan kemudian meluncurkannya.

Peneliti Jamf menyatakan bahwa malware ini memiliki kesamaan dengan ZuRu, yang sebelumnya telah terdeteksi menyebar melalui aplikasi bajakan di situs Tiongkok. Mereka berpendapat bahwa ada kemungkinan malware ini merupakan penerus ZuRu, mengingat aplikasi yang ditargetkan, perintah pemuatan yang dimodifikasi, dan infrastruktur penyerang yang serupa.

Untuk melindungi diri dari backdoor ini, pengguna macOS diimbau untuk:

• Hanya mengunduh aplikasi dari sumber resmi, seperti App Store.
• Memeriksa ulasan aplikasi sebelum mengunduhnya.
• Menginstal antivirus dan software anti-malware terpercaya.
• Menjaga sistem operasi dan software tetap up-to-date.

Pengguna yang mencurigai bahwa mereka mungkin telah menginstal aplikasi bajakan yang terkontaminasi backdoor ini harus segera menghapus aplikasi tersebut dan memindai komputer mereka dengan antivirus.