Bajak Laut Menargetkan Dompet Aset Kripto

JAKARTA – Peneliti Kaspersky menemukan jenis malware macOS yang tidak biasa. Rangkaian perangkat lunak berbahaya yang sebelumnya tidak diketahui ini, didistribusikan secara diam-diam melalui aplikasi bajakan, menargetkan aset kripto pengguna MacOS, yang disimpan dalam dompet digital.

Berbeda dengan Trojan proxy yang sebelumnya terdeteksi oleh Kaspersky, ancaman baru ini berfokus pada kompromi Trojan.

Trojan kripto ini unik dalam dua hal: Pertama, ia menggunakan data DNS untuk mengirimkan skrip Python berbahayanya. Kedua, dia tidak hanya mencuri dompet kripto tetapi juga mengganti aplikasi dompet dengan versi yang terinfeksi.

Hal ini memungkinkan untuk mencuri kata sandi yang digunakan untuk mengakses aset kripto yang disimpan di dompet.

Malware ini menargetkan macOS versi 13.6 dan lebih baru, yang menunjukkan fokus pada pengguna sistem operasi baru pada perangkat silikon Intel dan Apple.

Gambar disk yang dibuat berisi “aktivator” dan aplikasi yang diinginkan. Aktivator, yang sekilas tampak tidak berbahaya, mengaktifkan aplikasi bawaan setelah pengguna memasukkan kata sandi.

Penyerang menggunakan versi aplikasi yang sudah dibuat sebelumnya, memanipulasi file yang dapat dieksekusi sehingga tidak akan berjalan sampai pengguna mengaktifkannya. Strategi ini memastikan bahwa pengguna secara tidak sadar mengaktifkan aplikasi buatan.

Setelah proses patching, malware mengeksekusi muatan utamanya dengan memperoleh data TXT DNS untuk domain jahat dan mengenkripsi skrip Python domain tersebut. Skrip ini terus-menerus mencoba mengunduh langkah selanjutnya dari rantai infeksi yang juga merupakan skrip Python.

Tujuan pembayaran selanjutnya adalah untuk menjalankan perintah sewenang-wenang yang diterima dari server. Meskipun tidak ada perintah yang diterima selama penyelidikan dan pintu belakang diperbarui secara berkala, jelas bahwa kampanye malware masih dalam pengembangan.

Kode tersebut menunjukkan bahwa perintah tersebut mungkin merupakan skrip Python yang disandikan.

Terlepas dari fungsi yang disebutkan, skrip memiliki dua fitur penting yang mencakup domain penganalisis Apple [.]com.

Tujuan dari kedua fungsi tersebut adalah untuk memeriksa keberadaan aplikasi dompet aset kripto dan menggantinya dengan versi yang diunduh dari domain yang ditentukan. Taktik ini tampaknya menargetkan dompet Bitcoin dan Exodus, mengubah aplikasi ini menjadi entitas jahat. Startup kripto ini dengan senang hati menjadi perusahaan startup kripto pertama yang disetujui sebagai anggota bursa oleh CFX. petdir.us.co.id 8 April 2024