serangan malware

Pelbagai kategori perisian hasad telah menyerang macOS sejak Januari 2019.

Penyelidik keselamatan dari SentinelOne menyenaraikan sebanyak 10 serangan telah dibuat ke atas sistem operasi komputer macOS bagi tempoh 6 bulan pertama dalam tahun ini sahaja.

Ia mungkin nampak sedikit tetapi insiden serangan yang berlaku melibatkan perisian-perisian hasad yang amat merbahaya kepada pengguna Mac.

Serangan yang dibuat melibatkan 10 jenis perisian hasad yang berbeza dengan tujuan-tujuan tertentu.

Berikut adalah ringkasan 10 perisian hasad yang telah menyerang macOS dari bulan Januari hingga Jun 2019:-

1. OSX.Dok

Perisian hasad OSX.Dok mula dikesan dalam tahun 2017 lalu tetapi dilihat kembali muncul dan aktif menyerang pengguna macOS tahun ini. Masih menggunakan metod serangan yang sama tapi dalam bentuk ikon yang berbeza.

Jika dahulu ia menyamar sebagai ikon palsu aplikasi Preview, tetapi tahun ini pula ia menyerupai ikon dokumen Adobe PDF.

Pengguna akan menerima pakej fail DMG yang bernama DHL_Dokument.dmg atau Strichkode DHL Express.dmg

Apabila dibuka fail tersebut, ikon yang menyerupai fail Adobe PDF akan muncul beserta bahasa Jerman yang bermaksud meminta pengguna “klik 2x untuk melihat kandungan dokumen”.

OSX.Dok disebar menggunakan teknik phishing menerusi iklan-iklan palsu yang berniat jahat.

Risiko macOS yang dijangkiti dengan perisian hasad ini akan menyebabkan data pengguna digodam apabila mereka melayari internet. Ini kerana OSX.Dok menyerang nama domain di dalam sambungan internet Mac dengan menyambungkannya ke pelayan Dark Net.

Dari situ ia akan mula menjejaki trafik pengguna dan memindahkan data trafik tersebut ke pelayan Dark Net apabila setiap kali pengguna melayari mana-mana laman sesawang (termasuklah laman sesawang yang dilindungi ciri penginkripan SSL).

2. CookieMiner

Perisian hasad CookieMiner dibangunkan hasil daripada perisian hasad OSX.DarthMiner yang ditemui dalam bulan Disember 2018.

CookieMiner mula disedari kewujudannya pada lewat Januari lalu. Ia direka khusus bagi menyerang ‘cookies‘ yang berkaitan dengan kata laluan pelayar Google Chrome dan mereka yang aktif dengan aktiviti perlombongan kryptowang.

Penyelidik berpendapat CookieMiner mampu mencuri data kelayakan pengguna macOS bagi mengatasi ciri pengesahan pelbagai faktor dan 2FA (Factor Authentication).

Sekaligus membolehkan penggodam mengakses akaun kriptowang dan mencuri segala simpanan kriptowang yang dimiliki mangsa.

Selain itu, penyelidik juga mendapati CookieMiner mampu mencuri data kad kredit yang tersimpan di dalam pelayar Chrome, melihat mesej teks yang disalin (backup) ke dalam Mac dan mencuri Cookies dari pelayar Safari.

3. Lazarus

Bagi pengkriptowang, Lazarus merupakan satu lagi perisian hasad yang sangat ditakuti mereka. Ini kerana, sama sepertimana CookieMiner, Lazarus juga adalah perisian hasad yang menyasarkan pengkriptowang.

Pada Mac lalu, penyelidik keselamatan dari Kaspersky telah melaporkan kewujudan perisian hasad ini yang aktif menyasarkan secara khusus pengkriptowang di macOS dan Windows.

Di belakang Lazarus ini adalah kumpulan penggodam yang dikenali sebagai Hidden Cobra yang mempunyai kaitan dengan Korea Utara di mana kumpulan ini telah aktif dalam aktiviti jenayah siber sejak 2009 lagi.

Mereka juga dituduh sebagai pihak yang bertanggungjawab dalam serangan yang berlaku terhadap Sony Pictures pada 2014 dahulu.

Suspek disebalik serangan terhadap Sony Pictures Entertainment ini dikategorikan sebagi penjenayah yang amat dikehendaki oleh pihak FBI.

Pengguna macOS ataupun Windows yang dijangkiti perisian hasad ini akan menyebabkan penggodam boleh mengawal sepenuhnya komputer mangsa mereka menerusi pintu belakang.

Malah Lazarus juga menyerang pengguna perisian Microsoft Office menerusi kecacatan yang ada pada ciri macro scripting aplikasi tersebut pada tahun 2016.

Sehingga kini serangan terhadap ciri tersebut masih berlaku dan pengguna dinasihatkan supaya tidak membuka dokumen Microsoft Word yang diterima dari sumber yang tidak diketahui atau tidak sah sumbernya.

4. OSX.Pirrit

OSX.Pirrit atau juga dikenali sebagai BrowserEnhancer atau DaVinci didakwa telah mula wujud sejak 2016 lagi.

Ia merupakan perisian hasad kategori adware yang boleh menjangkiti sistem macOS menerusi pelayar dengan tujuan utamanya adalah mendapat keuntungan dengan mengalihkan hasil carian yang dibuat pengguna.

Kredit: Cybereason

Malah penyelidik juga menyatakan Pirrit mampu mengintip aktiviti di internet dan mencuri data sulit pengguna yang terjejas.

Walaupun pihak pembangunnya menafikan bahawa adware yang dibangunkan mereka itu merbahaya, tetapi lebih daripada 28 perisian keselamatan komputer mengklasifikasikan OSX.Pirrit sebagai perisian hasad termasuklah Avira, Fortinet dan Sophos.

Penyelidik keselamatan bernama Amit Serper ada melaporkan dengan terperinci analisis yang dilakukan ke atas perisian hasad OSX.Pirrit pada 2016 lalu.

Kemudian beliau menyambung lagi perincian tentang OSX.Pirrit di laman blognya, cyberreason pada 2017.

Perisian hasad ini dipercayai dibangunkan oleh firma iklan dan pembangun aplikasi dari Israel bernama TargetingEdge.

5. OSX.Siggen

OSX.Siggen yang turut dikesan dalam bulan April adalah perisian hasad yang menyamar sebagai aplikasi WhatsApp untuk telefon pintar dan komputer.

Di atas macOS, OSX.Siggen akan dipaparkan sebagai WhatsAppService.app. Dr. Web Anti Virus menjelaskannya seperti berikut:-

A backdoor for macOS that allows attackers to download and run any Python code on a user’s device. It’s disguised as a portfolio and distributed via usb[.]mine[.]nu site, as well as on message-whatsapp[.]com site under the guise of the WhatsApp messenger

Kod OSX.Siggen disimpan di dalam WhatsAppService.app/Contents/Resources/script.

Risiko peranti yang dijangkiti perisian hasad ini akan membolehkan penggodam mengawal sepenuhnya peranti dan menjadikannya sebagai salah satu senjata botnet mereka.

Ia dapat dilakukan kerana OSX.Siggen turut memasang perisian hasad lain yang dipanggil Evil.OSX sebagai pintu belakang kepada penggodam bagi mengakses peranti yang terjejas.

6. OSX.LoudMiner

Loudminer adalah perisian hasad pelombong kriptowang yang menyerang pengguna macOS dan Windows sejak Ogos tahun lepas lagi. Ia disebarkan menerusi aplikasi-aplikasi cetak rompak, khususnya perisian audio.

Di macOS, perisian hasad ini beroperasi dengan menggunakan 2 mesin virtual Linux bagi aktiviti perlombongan dan memasang 3 senarai aset kekal di dalam sistem macOS.

Komputer yang terjejas akan menjadi lebih mudah panas dari biasa kerana Loudminer berselindung disebalik perisian cetak rompak berkuasa tinggi bagi menjalankan aktiviti perlombongan kriptowang.

Bahasa mudahnya, penggodam menumpang komputer pengguna lain bagi mengaut menjalankan aktiviti kriptowangnya.

7. KeyStealDaemon

Perisian hasad yang dikenali sebagai KeyStealDaemon ini mula menonjol pada Februari lalu. Walaubagaimanapun, dalam bulan Jun lepas ia didapati sangat aktif menyerang pengguna Mac.

Apple telah beberapa kali bertindak bagi menampal kelemahan macOS yang dieksploitasi oleh KeyStealDaemon.

Namun begitu, perisian hasad licik ini mampu mencipta sendiri pengesahan baginya melepasi sekatan keselamatan yang ada dalam macOS.

Ia mampu mengakses Mac yang diserangnya dari jauh dan secara khusus boleh mencuri kesemua kata laluan yang disimpan di dalam Mac yang terjejas.

Penyelidik keselamatan macOS bernama Linus Henze sebelum ini pernah mendemokan konsep bagaimana perisian hasad ini dapat mengeksplotasi keselamatan macOS.

Pengguna Mac yang berisiko tinggi terhadap serangan perisian hasad ini adalah mereka yang masih menggunakan versi  Mac OS X 10.11 El Capitan atau terdahulu.

Tetapi jika anda menggunakan model Mac terkini dan tidak mengemas kini macOS tersebut, anda juga tetap berisiko berdepan dengan serangan tersebut.

Oleh itu, pengguna Mac dinasihatkan supaya sentiasa mengemas kini macOS mereka supaya dapat menyekat serangan KeyStealDaemon ini.

8. OSX/Linker

OSX/Linker yang ditemui seawal Februari lalu oleh Filippo Cavallarin telah melaporkannya kepada pihak Apple pada 22 Februari 2019.

Walaubagaimanapun, hanya pada 24 Mei lalu sahaja baru beliau mendedahkannya kepada umum menerusi laporannya yang bertajuk macOS X GateKeeper Bypass selepas pihak Apple masih belum mengambil sebarang tindakan ke atas laporan oleh beliau itu.

Ringkasan daripada laporan penemuan itu, Cavallarin mendapati dengan menghasilkan symbolic link ke atas aplikasi macOS, ia akan dapat melepasi ciri keselamatan GateKeeper dan XProtect yang ada di dalam macOS.

Dengan kata lain, ia merupakan teknik bagi mengelirukan ciri keselamatan macOS dari mengesan perisian hasad itu sekaligus membolehkan perisian hasad lebih mudah menjangkiti sistem Mac.

Pada awal Jun lalu pula, pasukan penyelidik keselamatan dari pembangun perisian Intego telah pertama kali mengesan percubaan menyebarkan OSX/Linker dengan menggunakan teknik yang didedahkan oleh Filippo Cavallarin.

Daripada pemerhatian itu, mereka mengesan bahawa OSX/Linker adalah datang daripada pembangun sah yang berdaftar dengan Apple di Israel dan Amerika.

Susulan dari itu penyelidik Intego telah melaporkannya kepada Apple dan pihak Apple dengan segera telah membatalkan pemegang akaun pembangun Apple tersebut.

9. OSX.Mokes dan OSX.Netwire/Wirenet

Serangan yang berlaku ke atas macOS juga berlaku menerusi serangan ke atas aplikasi pihak ketiga, sepertimana yang berlaku terhadap aplikasi pelayar Firefox.

Penyelidik SentinelOne telah menemui 2 perisian hasad yang dipanggil sebagai OSX.Mokes dan OSX.Netwire/Wirenet yang memasang pintu belakang kepada penggodam bagi membolehkan mereka mengakses data pengguna Mac.

2 Perisian hasad ini berjaya menyelinap masuk ke dalam macOS dengan mengeksploitasi kecacatan yang ada pada pelayar Firefox.

OSX.Mokes dan OSX.Netwire/Wirenet dilaporkan mampu membuat tangkap layar, merakam aktiviti menaip di papan kekunci komputer (Keystroke logging) dan mengambil data sulit pengguna Mac.

Jadi, sekiranya anda ada menggunakan pelayar Firefox, sila pastikan anda mengemas kininya kepada versi terbaru bagi menyelesaikan isu ini.

10. OSX/CrescentCore

OSX/CrescentCore pula adalah sebuah perisian hasad generasi baru yang telah dilaporkan ditemui oleh pihak pembangun perisian keselamatan komputer, Intego pada 28 Jun lalu.

Perisian hasad ini mengelirukan pengguna Mac dengan menyamar sebagai aplikasi yang menyerupai Adobe Flash Player installer.

CrescentCore bertindak dengan mengimbas terlebih dulu komputer Mac bagi mengesan sebarang perisian antivirus yang ada pada sistem macOS yang cuba dijangkitinya.

Sekiranya didapati ada perisian anti virus di dalam Mac tersebut, CrescentCore akan berhenti dan keluar secara sendirinya, dengan kata lain ia berhenti daripada menyerang macOS tersebut.

Tetapi jika tiada sebarang halangan dikesan, CrescentCore akan mula memasang “LaunchAgent” yang dijelaskan penyelidik sebagai “persistent infection“.

Bermakna ia akan melepasi ciri keselamatan yang sedia ada di dalam macOS.

Sistem macOS yang dijangkiti CrescentCore akan mengandungi fail atau folder seperti berikut:-

/Library/com.apple.spotlight.Core
/Library/Application Support/com.apple.spotlight.Core
/Library/LaunchAgents/com.google.keystone.plist
com.player.lights.extensions.appex

Pengguna Mac yang terkesan dengan perisian hasad ini akan mendapati Mac mereka akan menjadi semakin lembab kerana dimuatkan dengan bloatware, scareware dan lain-lain.

Bagi mengelakkan daripada anda berdepan dengan CrescentCore, langkah terbaik adalah dengan tidak memasang Adobe Flash Player ke dalam komputer anda.

Malah pembangunnya, Adobe telah mengeluarkan kenyataan rasmi media berkaitan dengan aplikasi bermasalah mereka itu di mana mereka akan memberhentikan segala kemaskini, penambahbaikan dan tidak lagi menyokong sepenuhnya Adobe Flash Player sebelum berakhirnya tahun 2020.

Kesimpulan

Apa yang dapat disimpulkan daripada kemunculan pelbagai perisian hasad pada sistem macOS adalah, pembangun-pembangun perisian hasad ini akan sentiasa mencari jalan menggodam pengguna Mac.

Sebagai contoh adalah seperti perisian hasad OSX.Dok dan OSX.Linker yang sentiasa berevolusi sekaligus menggugat keselamatan pengguna Mac.

Malah perisian hasad seperti CrescentCore pula menunjukkan penggodam mula menjadikan perisian hasad yang dibangunkan mereka semakin sofistikated di mana ia menjadi lebih sukar dikesan oleh ciri keselamatan yang sedia ada di dalam macOS.

Bagi pihak pengguna pula, kita perlu menjadi lebih peka terhadap perkembangan semasa keselamatan sistem komputer kerana setiap hari kita menggunakannya dalam kehidupan harian kita.

Penggunaan perisian anti virus pada Mac bolehlah dianggap sebagai tindakan yang baik. Tetapi pengguna tidak boleh bergantung harap kepada anti virus semata-mata.

Sebaliknya sikap kita apabila melayari internet itu perlu lebih dulu diubah. Tabiat mudah klik pada sesuatu pautan meragukan dan tidak ambil peduli tentang privasi juga adalah antara penyebab mengapa pengguna Mac mudah menjadi mangsa perisian hasad.

Akhir kata, jadilah pengguna Mac yang bijak dan sentiasa peka dengan perkembangan teknologi semasa.

1 COMMENT

LEAVE A REPLY

Please enter your comment!
Please enter your name here