AppleJeus: Kelompok Lazarus Memburu Pertukaran Mata Uang Kripto Gunakan Malware MacOS

Para peneliti Global Research and Analysis Team  (GReAT) dari Kaspersky lab telah menemukan AppleJeus – operasi berbahaya baru oleh kelompok Lazarus yang telah dikenal sebelumnya. Para penyerang menembus jaringan pertukaran mata uang kripto  di Asia menggunakan perangkat lunak perdagangan mata uang kripto yang disusupi Trojan. Tujuan serangan itu adalah untuk mencuri mata uang kripto dari korban. Selain malware berbasis Windows, peneliti juga dapat mengidentifikasi versi yang sebelumnya tidak diketahui dengan menarget platform macOS.

Peneliti Kaspersky Lab melihat ini adalah untuk pertama kalinya kelompok Lazarus menyebarkan malware dengan menargetkan pengguna macOS. Hal ini merupakan peringatan bagi pengguna macOS yang memanfaatkannya untuk aktivitas mata uang kripto.

Berdasarkan analisis GReAT, penetrasi infrastruktur bursa saham dimulai ketika seorang karyawan perusahaan mengunduh aplikasi pihak ketiga dari situs web perusahaan pengembang perangkat lunak untuk perdagangan mata uang kripto yang kelihatannya legal.

Kode aplikasinya tampak tidak mencurigakan, kecuali pada satu komponen yaitu sebuah updater. Dalam perangkat lunak yang sah, komponen tersebut digunakan untuk mengunduh versi baru dari program. Dalam kasus AppleJeus, komponen tersebut bertindak seperti modul pengintaian. Pertama, ia mengumpulkan informasi dasar tentang komputer yang telah menginstallnya, kemudian mengirimkan informasi ini kembali ke server command and control, selanjutnya jika penyerang memutuskan bahwa komputer tersebut layak menjadi target, kode berbahaya akan muncul kembali dalam bentuk pembaruan perangkat lunak. Pembaruan berbahaya menginstall Trojan yang dikenal sebagai Fallchill, sebuah teknik lama yang baru-baru ini diaktifkan kembali oleh grup Lazarus. Fakta ini memunculkan dugaan bahwa setelah melakukan instalasi, Trojan Fallchill memberikan akses tak terbatas ke komputer yang menjadi target untuk penyerang. Akses ini memungkinkan mereka untuk mencuri informasi keuangan yang berharga atau meluncurkan tool tambahan dengan tujuan serupa.

Situasi ini diperparah oleh fakta bahwa para pelaku kejahatan siber telah mengembangkan perangkat lunak untuk platform Windows dan macOS.  Untuk macOS sendiri pada umumnya jauh lebih sedikit terkena risiko ancaman siber daripada Windows. Namun fungsionalitas malware kedua versi platform ini persis sama.

Hal lain yang tidak biasa tentang operasi AppleJeus adalah penyerangan terlihat seperti serangan berantai, yang dalam kenyataannya bukan seperti ini yang terjadi. Vendor perangkat lunak perdagangan mata uang kripto yang digunakan untuk mengirimkan muatan berbahaya ke komputer korban memiliki sertifikat digital yang valid baik untuk perangkat lunaknya dan catatan pendaftaran yang sah untuk domain tersebut. Namun – paling tidak berdasarkan informasi yang tersedia secara publik – peneliti Kaspersky Lab tidak dapat mengidentifikasi organisasi sah yang berlokasi di alamat yang digunakan dalam informasi sertifikat tersebut.

“Kami memperhatikan minat Lazarus Group pada pasar mata uang kripto meningkat di awal 2017, ketika perangkat lunak Monero diinstall pada salah satu server mereka oleh operator Lazarus. Sejak saat itu, mereka telah terlihat beberapa kali menargetkan pertukaran mata uang kripto bersamaan dengan target ke organisasi keuangan biasa. Faktanya bahwa mereka mengembangkan malware untuk menginfeksi pengguna macOS selain pengguna Windows – dan kemungkinan besar – bahkan membuat perusahaan perangkat lunak dan produk perangkat lunak palsu agar malware dapat menembus solusi keamanan. Ini berarti mereka melihat potensi keuntungan yang besar dalam keseluruhan operasi, dan kita akan lebih banyak dihadapkan pada kasus serupa dalam waktu dekat. Bagi pengguna macOS, kasus ini menjadi sebuah titik kewaspadaan, terutama jika mereka menggunakan Mac untuk melakukan operasi mata uang kripto,” kata Vitaly Kamluk, head of GReAT APAC team Kaspersky Lab.

Kelompok Lazarus dikenal karena serangannya yang rumit serta tautan ke Korea Utara tercatat tidak hanya dari aksi cyberspionage dan cybersabotage saja, tetapi juga karena serangan bermotif keuangan. Sejumlah peneliti, termasuk di Kaspersky Lab, sebelumnya telah melaporkan kelompok ini menargetkan bank dan perusahaan keuangan besar lainnya.

Untuk melindungi diri dan perusahaan Anda dari serangan siber canggih dari kelompok-kelompok seperti Lazarus, para ahli keamanan Kaspersky Lab menyarankan hal-hal berikut:

  • Jangan secara langsung mempercayai kode yang berjalan pada sistem Anda. Situs web yang tampak otentik, profil perusahaan yang solid, atau bahkan adanya sertifikasi digital tidak menjamin tidak adanya backdoors.
  • Gunakan solusi keamanan yang kuat, dilengkapi dengan teknologi pendeteksi perilaku berbahaya yang bahkan dapat mendeteksi ancaman yang tidak diketahui sebelumnya.
  • Berlangganan layanan laporan intelijen berkualitas tinggi mengenai ancaman untuk mendapatkan akses awal ke informasi tentang perkembangan terkini dalam taktik dan teknik ancaman siber.
  • Gunakan otentikasi multi-faktor dan hardware wallet jika Anda berurusan dengan transaksi keuangan secara signifikan. Untuk kebutuhan ini, sebaiknya gunakan komputer standalone berbeda dengan yang Anda gunakan untuk menjelajahi internet atau membaca email.