Cyberthreat.id – Perusahaan keamanan siber, Malwarebytes, menemukan adanya perkakas lunak jahat (malware) yang menyerang perangkat Mac Apple.

Perkakas lunak jahat itu berupa ransomware baru yang beredar di forum torrent Rusia dan menyamar sebagai penginstal (installer) “Little Snitch”.

Little Snitch adalah aplikasi Mac yang sah untuk memonitor dan menyaring lalu lintas jaringan. Namun, dalam kasus aplikasi palsu ini, peretas memanfaatkan nama aplikasi itu untuk serangan ransomware, demikian seperti dikutip dari TechRadar, diakses Selasa (7 Juli 2020).

Ransomware itu oleh peneliti dijuluki dengan nama “EvilQuest”. Selain mengunci file perangkat, malware ini memiliki karakteristik mampu mencatat setiap ketikan (log keystrokes), menciptakan shell terbalik, dan mencuri file yang berkaitan dengan dompet mata uang kripto.

Serangan ransomware adalah mengunci sistem operasi perangkat atau file sehingga tidak bisa diakses oleh pemilik. Peretas biasa meminta uang tebusan berupa Bitcoin atau Ethereum.

Untuk membuka kunci, pemilik harus membayar uang permintaan itu. Tak ada jaminan bahwa koban pasti mendapat kunci pembuka (decryptor) setelah pembayaran dilakukan.

Malwarebytes menyatakan, temuan malware tersebut termasuk langka. Dalam empat tahun terakhir, peneliti baru mengidentifikasi empat malware yang menyerang sistem operasi Mac, di antaranya “KeRanger” dan “Patcher”.

Meski installer palsu, malware itu sendiri cukup unik. Sebagai contoh, pada saat instalasi, malware Mac gagal untuk mulai mengenkripsi file.

Malware mulai mengenkripsi data setelah sistem jam diubah dan komputer dihidupkan ulang beberapa kali.

"Sudah lazim bagi malware untuk menunda diri untuk menyusup,” kata Thomas Reed, Direktur Mac and Mobile dan Malwarebytes seperti dikutip dari The Hacker News, diakses Selasa.

"Sebagai contoh, ransomware Mac pertama, KeRanger, menunda hingga tiga hari  antara saat menginfeksi sistem dan ketika mulai mengenkripsi file. Ini salah satu cara untuk menyamarkan sumber malware, karena perilaku jahat aplikasi mungkin tidak segera berkaitan dengan program yang diinstal tiga hari sebelumnya."

Kemampuan lain dari ransomware baru ini yaitu membunuh semua perangkat lunak keamanan, seperti Kaspersky, Norton, Avast, McAfee, Bitdefender, dan Bullguard.

Fitur EvilQuest melampaui ransomware biasa karena mampu berkomunikasi dengan server perintah-dan-kontrol ("andrewka6.pythonanywhere.com") untuk mengeksekusi perintah dari jarak jauh, memulai keylogger, membuat shell terbalik, dan bahkan menjalankan muatan berbahaya secara langsung.

"Berbekal kemampuan ini, penyerang dapat mempertahankan kontrol penuh atas host yang terinfeksi," kata peneliti malware K7 Lab Dinesh Devadoss, Patrick Wardle, yang bekerja sama dengan Malwarebytes.

Malware ini juga tidak terlalu tersembunyi. Menciptakan file berisi instruksi untuk membayar uang tebusan, serta menampilkan peringatan pop-up di layar.

“Cara terbaik untuk menghindari dari ransomware adalah selalu menjaga data cadangan yang baik,” saran Thomas Reed, Direktur Mac and Mobile dan Malwarebytes.
"Simpan setidaknya dua salinan cadangan dari semua data penting, dan setidaknya satu tidak boleh disimpan pada Mac Anda setiap saat (ransomware dapat mencoba mengenkripsi atau merusak cadangan pada drive yang terhubung).”[]

Redaktur: Andi Nugroho