Cyberthreat.id – Perusahaan keamanan siber asal Rusia, Kaspersky Lab, mengungkapkan tiga perangkat lunak jahat (malware) yang menargetkan  prosesor M1 yang baru dirilis Apple pada November 2020.

Prosesor tersebut dilengkapi perlindungan dan fitur keamanan yang langsung ditanam di dalamnya. Tak hanya menarik minat para konsumen Apple, ternyata prosesor itu juga menarik minat para penjahat siber untuk mengembangkan sampel malware yang telah dikompilasi.

Kaspersky di blog perusahaan, diakses Selasa (16 Maret 2021), mengungkapkan ada tiga malware lama yang mengintai prosesor M1 Apple, yaitu XCSSET, Silver Sparrow, dan Adware Pirrit.

• XCSSET

Malware ini pertama kali ditemukan pada 2020 oleh perusahaan keamanan siber asal Jepang, Trend Micro. Malware ini menggunakan cara distribusi yang unik dengan memasukkan muatan berbahaya ke dalam proyek IDE Xcode di Mac korban. (Baca: XCSSET, Varian Malware Baru Pencuri Informasi di MacOS),

Malware ini memiliki banyak sekali kemampuan, seperti membaca dan membuang cookies pada peramban Safari, memasukkan kode JavaScript berbahaya ke berbagai situs web, mencuri file dan informasi pengguna dari aplikasi, seperti Notes, WeChat, Skype, Telegram, dll., serta mengenkripsi file pengguna.

“Semua fitur yang beragam ini, dikombinasikan dengan cara distribusi yang tidak biasa, menjadikan XCSSET sebagai ancaman berbahaya bagi komputer Mac,” ujar Kaspersky.

Saat menjelajahi berbagai modul XCSSET yang dapat dieksekusi, Kaspersky menemukan beberapa di antaranya juga berisi sampel yang dikompilasi khusus untuk chip Apple Silicon baru.

Misalnya, sampel dengan hash sum MD5 914e49921c19fffd7443deee6ee161a4 berisi dua arsitektur: x86_64 dan ARM64. Yang pertama terkait dengan komputer Mac berbasis Intel generasi sebelumnya, sedangkan yang kedua dikompilasi untuk arsitektur ARM64, yang berarti dapat berjalan di komputer dengan chip Apple M1.

• Silver Sparrow

Malware yang kedua adalah Silver Sparrow, pertama kali diungkap oleh RedCanary yang berhasil menginfeksi 29.000 MacBook Apple yang menggunakan chip M1. (Baca: Ditemukan Malware Baru Silver Sparrow yang Infeksi 29 Ribu MacBook dengan Chip M1)

Menurut para peneliti, versi awal dari malware ini hanya menargetkan arsitektur Intel x86_64. Namun, pada versi terbaru yang ditujukan pada platform ARM64 di M1 Mac menunjukkan bahwa penulis malware mencoba memperluas cakupannya.

Dalam file paket dengan hash sum MD5 fdd6fb2b1dfe07b0e57d4cbfef9c8149, terdapat Mach-O yang berisi dua arsitektur yang didukung (ARM64 dan x86_64), dibandingkan dengan paket lama dengan Jumlah hash MD5 30c9bc7d40454e501c358f77449071aa.

Hal itu berart, kata Kaspersky, penulis malware mencoba untuk memperluas cakupan serangan mereka dengan mendukung platform yang lebih luas.

• Adware Pirrit

Malware ini diungkap oleh peneliti keamana siber yang fokus pada Mac, Patrick Wardle. Meskipun masuk dalam keluarga adware lama dan terkenal, Pirrit masih aktif diperbarui oleh penulisnya dan sampel baru cukup sering ditemukan secara bebas di internet.

Pirrit sekarang dapat berjalan secara alami di Mac M1 dan Mac berbasis Intel dengan gejalanya sama. Siapa pun yang sistemnya terinfeksi akan diperlakukan dengan pop-up, spanduk, dan iklan mengganggu lainnya di Mac mereka.

Adware ini dilengkapi dengan teknik anti-debug seperti menggunakan ptrace syscall dengan bendera PT_DENY_ATTACH, teknik obfuscation untuk aliran kontrol, mengimpor secara dinamis dengan panggilan dlsym untuk menghindari analisis statis, dan mendeteksi mesin virtual antianalisis.

Kaspersku menambahkan, Pirrit bukan satu-satunya keluarga adware yang menargetkan platform Apple Silicon baru-baru ini. Peneliti juga mengamati contoh adware ARM64 Bnodlero (MD5 82e02c1ca8dfb4c60ee98dc877ce77c5), yang menjalankan skrip pengunduh bash menggunakan fungsi sistem.

Mengapa menargetkan M1 Mac?

Kaspersky mengatakan, satu-satunya hal yang membedakan ancaman Apple M1 baru dari penargetan sebelumnya yang menargetkan komputer Mac berbasis Intel adalah arsitektur prosesor Mac yang dikompilasi dengan executable. Untuk menjalankan aplikasi mereka di Apple Silicon, pengembang perangkat lunak harus mengkompilasi ulang kode mereka menjadi file yang dapat dijalankan pada chip M1. Hal yang sama berlaku untuk musuh malware, dan itulah yang membuat M1 menarik bagi penjahat siber.

Namun, ancaman keamanan yang dirancang untuk Mac berbasis Intel masih dapat berjalan di Mac M1, karena fitur Rosetta 2, komputer Mac yang baru dirilis dengan Apple M1 juga dapat menjalankan kode berbahaya yang ditulis secara eksklusif untuk arsitektur Intel x86_64.

Dengan menggunakan chip M1 baru, Apple jelas telah mendorong kinerja dan batasan hemat energinya pada komputer Mac, tetapi perlu diingat bahwa pengembang malware tetap mengawasi inovasi tersebut dan dengan cepat mengadaptasi file executable mereka ke Apple Silicon dengan mem-porting kode ke arsitektur ARM64.[]

Redaktur: Andi Nugroho