Jakarta – Peneliti keamanan dari Jamf Threat Labs menemukan backdoor di App Store untuk Mac yang merupakan malware ini dinamai ChillyHell. Benda ini diketahui sudah bisa mengakali sistem keamanan App Store Mac sejak 2021.
Jadi, malwarenya sudah bisa berjalan di sistem Mac tanpa memicu munculnya peringatan ke pengguna.
Laporan Mandiant menyebutkan keberadaan ChillyHell berkaitan dengan geng hacker bernama UNC4487, yang dikenal telah menjebol situs pemerintahan Ukraina pada 2022.
Perbuatan ini menyusupkan malware Matanbuchus yang ditemukan sampel tambahan yang menghubungkan malwarenya dengan sertifikat pengembang yang sama.
Sistem keamanan yang diakali oleh ChillyHell bertujuan melindungi pengguna dengan mengecek software yang mungkin mengandung tanda-tanda malware. Jadi saat pengembang mengirimkan aplikasi, Apple langsung memindai aplikasi tersebut.
Jika aplikasi berhasil melewatinya dan mendapat status ‘notarized’, maka aplikasi itu bisa berjalan tanpa memicu peringatan Gatekeeper di macOS.
ChillyHell dibuat menggunakan ID pengembang dan mendapat status notarized pada 2021, yang membuatnya bisa berkeliaran layaknya software normal.
Aplikasi ini disimpan secara publik di Dropbox dengan status sertifikatnya itu baru dicabut oleh Apple setelah Jamf mengungkap temuannya ini.
ChillyHell dibuat menggunakan C++ modular, dan mengincar Mac berbasis Intel dengan sampel yang diuji meniru applet macOS yang tidak berbahaya.
Namun saat dijalankan, malware ini melakukan profiling terhadap perangkat korban, dan membuka koneksi command and control.
ChillyHell menginstalasi dirinya sebagai LaunchAgent untuk pengguna, LaunchDaemon untuk akses root, dan bahkan memasukkan perintah dalam file profil shell.
Apple sudah memblokir sertifikat ChillyHell sehingga tak lagi bisa diinstal dan perangkat yang sudah terinfeksi harus dipindai dan dibersihkan secara manual. (adm)
Sumber: detik.com
