Pelaku ancaman Korea Utara menargetkan sistem macOS Apple menggunakan aplikasi Notepad yang telah di trojan dan permainan ranjau darat yang dibuat dengan Flutter, yang ditandatangani dan diautentikasi oleh pengembang ID Apple yang sah.
Artinya, aplikasi berbahaya, meskipun hanya sementara, telah lolos pemeriksaan keamanan Apple, sehingga sistem macOS memperlakukannya sebagai terverifikasi dan memungkinkannya berjalan tanpa batasan.
Nama-nama aplikasi tersebut berpusat pada tema mata uang kripto, yang sejalan dengan minat peretas Korea Utara dalam pencurian keuangan.
Menurut Jamf Threat Labs, yang menemukan aktivitas tersebut, kampanye tersebut lebih terlihat seperti eksperimen untuk menghindari keamanan macOS daripada operasi yang menyeluruh dan sangat bertarget.
Aplikasi yang dinotariskan terhubung ke server DPRK
Mulai November 2024, Jamf menemukan beberapa aplikasi di VirusTotal yang tampak sama sekali tidak berbahaya bagi semua pemindaian AV, namun menampilkan fungsionalitas “tahap pertama”, menghubungkan ke server yang terkait dengan aktor Korea Utara.
Semua aplikasi dibuat untuk macOS menggunakan kerangka kerja Google Flutter, yang memungkinkan pengembang membuat aplikasi yang dikompilasi secara asli untuk sistem operasi berbeda menggunakan basis kode tunggal yang ditulis dalam bahasa pemrograman Dart.
“Bukan hal yang aneh bagi pelaku untuk menyematkan malware dalam aplikasi berbasis Flutter, namun ini adalah pertama kalinya kami melihat penyerang ini menggunakannya untuk menyerang perangkat macOS,” jelas peneliti Jamfa Ferdous Saljooki dan Yaron Bradley.
Pendekatan ini tidak hanya memberikan keserbagunaan bagi pembuat malware, tetapi juga membuat kode berbahaya lebih sulit dideteksi karena kode tersebut dibangun ke dalam perpustakaan dinamis (dilib), yang dimuat oleh mesin Flutter saat runtime.
Sumber Tata Letak Aplikasi Flutter: Jamf
Setelah analisis lebih lanjut terhadap salah satu aplikasi berbasis Flutter, berjudul “Pembaruan Baru di Crypto Exchange (28-08-2024).app), Jamf menemukan bahwa kode yang dikaburkan di dilib mendukung eksekusi AppleScript, memungkinkannya mengeksekusi skrip yang dikirim dari perintah dan server kontrol (C2).
Aplikasi ini membuka game Minesweeper untuk macOS, yang kodenya tersedia secara gratis di GitHub.
Lima dari enam aplikasi berbahaya yang terdeteksi oleh Jamf ditandatangani menggunakan ID pengembang yang sah, dan malware tersebut disahkan, yang berarti aplikasi tersebut dipindai oleh sistem otomatis Apple dan dianggap aman.
Game yang ditanda tangani trojan Minesweeper Sumber: Jamf
Jamf juga mengungkapkan varian berdasarkan Golang dan Python, yang disebut “Era Baru untuk Stablecoin dan DeFi, CeFi (Protected).app” dan “Runner.app”, dengan yang terakhir disajikan sebagai aplikasi notebook sederhana.
Keduanya membuat permintaan jaringan ke domain yang diketahui terkait dengan DPRK, 'mbupdate.linkpc(.)net,' dan menyajikan kemampuan eksekusi skrip.
Apple sejak itu telah mencabut tanda tangan aplikasi yang ditemukan oleh Jamf, sehingga aplikasi tersebut tidak akan melewati pertahanan Gatekeeper jika aplikasi tersebut dimuat di sistem macOS yang diperbarui.
Namun, tidak jelas apakah aplikasi ini pernah digunakan dalam operasi sebenarnya atau hanya dalam pengujian “liar” untuk mengevaluasi teknik menghindari perangkat lunak keamanan.
Fakta bahwa terdapat beberapa varian dari aplikasi dasar yang sama mendukung teori ini, namun untuk saat ini, spesifikasi operasi ini masih belum diketahui.
unity software
unity software information
software information
Informasi mengenai king slot
king selot
king slot
king slot
kingselot
pg king slot