Cyberthreat.id – Perusahaan keamanan siber asal Amerika Serikat, Malwarebytes, baru-baru ini mendeteksi operasi siber yang dilakukan oleh kelompok hacker Korea Utara, Lazarus.

Lazarus diduga telah mengembangkan varian baru dari “Dacls”, sebuah trojan akses jarak jauh (Remote Access Trojan/RAT). Varian baru ini dirancang khusus untuk menyerang sistem operasi Mac (macOS), tulis Malwarebytes di blog perusahaan yang diakses Jumat (8 Mei 2020).

"Dacls" adalah RAT yang ditemukan oleh perusahaan keamana siber China, Qihoo 360 NetLab pada Desember 2019. RAT ini bekerja secara rahasia yang menargetkan Windows dan Linux.

Namun, untuk versi Mac ini, kata MalwareBytes, didistribusikan melalui aplikasi otentifikasi dua langkah (2FA) trojan untuk macOS yang disebut “MinaOTP”—sebagian besar digunakan oleh pengguna China.

Mirip dengan varian yang menyerang Linux, menurut peneliti, “Dacls” memiliki beberapa fitur, termasuk eksekusi perintah, manajemen file, proxy lalu lintas, dan pemindaian worm.

Pada 8 April lalu, aplikasi Mac yang mencurigakan bernama “TinkaOTP” dikirim ke perusahaan VirusTotal untuk dilakukan serangkan pemeriksaan. Pengiriman itu bersal dari Hong Kong, tulis Malwarebytes.

Dari serangkaian pengujian terdeteksilah perangkat jahat tersebut. Executable (file yang menjalankan program) bot jahat itu terletak di direktori: “Contents/Resources/Base.lproj/” dari aplikasi dan berpura-pura menjadi file nib (SubMenu.nib).

Kepada SCMagazine, tim Intelijen Ancaman Malwarebytes  mengatakan, penyerang menggunakan aplikasi 2FA yang sah, lalu menambahkan aplikasi jahat dan mengemasnya sebagai aplikasi Mac.

MinaOTP tetap bersih, tapi hanya digunakan sebagai blok bangunan, kata peneliti. "Menggunakan aplikasi 2FA adalah hal menarik karena dapat menargetkan dan mencuri data 2FA dari mesin korban.

Sementara, kata peneliti, RAT yang digunakan memiliki kemampuan untuk mengunduh muatan tambahan (additional payload) dan diharapkan, bahwa pada titik tertentu, “Peretas akan menangkap data 2FA sehingga bisa mengakses akun lain yang digunakan oleh korban," tutur peneliti.

Peneliti meyakini varian Mac RAT Dcals memiliki hubungan kuat dengan Lazarus, juga dikenal sebagai Hidden Cobra dan APT 38. Mereka adalah peretas terkenal yang melakukan operasi spionase dunia maya dan kejahatan siber sejak 2009.

“Grup ini dikenal sebagai salah satu aktor paling canggih, yang mampu membuat malware khusus untuk menargetkan platform yang berbeda. Penemuan RAT ini menunjukkan bahwa grup APT ini terus mengembangkan perangkat malware-nya,” tutur peneliti Malwarebytes.

Detail dari penelitian Malwarebytes bisa dicek di sini.[]

Redaktur: Andi Nugroho