- Utilitas CleanMyMac palsu menyebarkan infostealer SHub
- Serangan menipu pengguna agar menempelkan perintah terminal
- Malware mencuri kredensial, kripto, dan bertahan melalui pintu belakang
Sebuah program utilitas palsu untuk MacOs menipu pengguna agar menginstal malware infostealer yang mengambil kata sandi, file sensitif, dan bahkan uang, demikian peringatan para ahli.
Peneliti keamanan Malwarebytes dikatakan program ini merupakan bagian dari kampanye yang lebih luas dan sangat canggih yang juga mencakup situs web khusus, spoofing merek terkemuka, pemuat, dan pendekatan ClickFix lama yang bagus.
Para peneliti mengatakan kampanye tersebut memalsukan CleanMyMac, program pengoptimalan mac sah yang dibuat oleh MacPaw, membuat situs web yang hampir identik di cleanmymacos.[DOT]domain org, yang memudahkan orang salah mengartikannya sebagai domain asli. Namun, alih-alih hanya mengunduh dan menjalankan penginstal, korban diminta membuka terminal dan menempelkan perintah yang mengambil muatan dari server pihak ketiga.
Artikel berlanjut di bawah
Mencuri file dan membangun kegigihan
“Alih-alih mengeksploitasi kerentanan, ini malah menipu pengguna untuk menjalankannya perangkat lunak perusak sendiri, “jelas Malwarebytes. “Karena perintah dijalankan secara sukarela, perlindungan seperti Gatekeeper, pemeriksaan notarisasi, dan XProtect menawarkan sedikit perlindungan setelah pengguna menempelkan perintah dan menekan Return.”
Malware yang dipasang dengan cara ini disebut SHub, dan selama instalasi, ia akan menanyakan kata sandi macOS korbannya. Karena seluruh proses instalasi agak tidak lazim dan mungkin terlihat seperti sesuatu yang dilakukan oleh pengguna yang mahir, pengguna mungkin mengabaikannya sebagai praktik standar, jelas para peneliti.
Namun, kata sandi tersebut sebenarnya memberi SHub akses ke Rantai Kunci macOS, kredensial Wi-Fi, token aplikasi, dan kunci pribadi lainnya.
“Dengan kata sandi di tangan, SHub memulai pembersihan mesin secara sistematis,” kata peneliti Malwarebytes.
Setelah mencuri kata sandi, cookie, data isi otomatis, ekstensi dompet kripto, iCloud data akun, file sesi Telegram, dan barang berharga lainnya, ia menjatuhkan pintu belakang tahap kedua yang menggantikan beberapa aplikasi dompet mata uang kripto dengan salinan berbahaya. Dengan begitu, malware tersebut tetap bertahan dan bahkan memungkinkan pencurian kripto tambahan.
Akhirnya, penjahat akan menginstal LaunchAgent dengan melakukan spoofing a Google layanan pembaruan.
“Dalam praktiknya, hal ini memberi penyerang kemampuan untuk menjalankan perintah pada Mac yang terinfeksi kapan saja hingga mekanisme persistensi ditemukan dan dihapus,” laporan tersebut menyimpulkan.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
