Serangan Hacker Korea Utara: Menyamar Pencari Kerja untuk Targetkan Pengguna Mac dengan Malware BeaverTail

JAKARTA - Para peneliti keamanan telah mengidentifikasi upaya hacker yang disponsori negara dari Korea Utara (DPRK) untuk menargetkan pengguna Mac dengan malware pencuri informasi melalui aplikasi pertemuan yang disusupi.

Setelah terinfeksi, malware tersebut akan membangun koneksi antara Mac dan server perintah dan kontrol (C2) penyerang untuk mengekstrak data sensitif seperti kredensial iCloud Keychain. Malware ini juga diam-diam menginstal aplikasi desktop jarak jauh AnyDesk dan perangkat lunak keylogging di latar belakang untuk mengambil alih mesin dan mengumpulkan penekanan tombol.

Malware, varian baru dari strain yang dikenal dengan nama “BeaverTail,” pertama kali dilaporkan oleh MalwareHunterTeam melalui sebuah posting di X. Meskipun BeaverTail sebelumnya adalah pencuri informasi berbasis JavaScript yang ditemukan pada tahun 2023, kini malware ini tampaknya telah diubah untuk menargetkan pengguna Mac dengan gambar disk berbahaya berjudul “MicroTalk.dmg.”

Peneliti keamanan dan penulis Patrick Wardle menganalisis malware ini dalam sebuah posting blog yang cukup komprehensif di Objective-See. Wardle menemukan bahwa para hacker kemungkinan besar menyamar sebagai pencari kerja. Mereka menipu korban untuk mengunduh apa yang tampak sebagai platform konferensi video resmi MiroTalk, sesuai dengan nama file gambar disk “MicroTalk.dmg,” tetapi sebenarnya adalah klon yang berisi malware tersembunyi.

Ini bukan pertama kalinya laporan tentang hacker Korea Utara yang menyamar sebagai pencari kerja untuk menargetkan korban. Unit42 Palo Alto Network baru-baru ini melaporkan cerita serupa berjudul: “Hacking Employers and Seeking Employment: Two Job-Related Campaigns Bear Hallmarks of North Korean Threat Actors.”

Menurut analisis Wardle, klon MicroTalk yang berisi malware tersebut tidak ditandatangani atau belum didaftarkan dengan Apple oleh pengembang yang diidentifikasi, sehingga macOS Gatekeeper akan mencegah aplikasi tersebut dijalankan. Namun, pengguna dapat mengatasi blokir dengan mengklik kanan dan memilih "Open" dari menu pintasan.

Setelah terinfeksi, malware berkomunikasi dengan server C2 untuk mengunduh dan mengekstrak data, termasuk kredensial iCloud KeyChain dan ID ekstensi browser dompet cryptocurrency populer, yang dapat digunakan untuk mencuri kunci pribadi dan frasa mnemonik.

Yang paling sulit dipahami adalah ketika malware ditemukan minggu lalu, malware tersebut bisa melewati pemindai antivirus seperti VirusTotal tanpa terdeteksi. Para penjahat siber akan mengunggah file eksekusi mereka di platform seperti VirusTotal untuk memastikan aspek berbahaya tersembunyi dengan baik sehingga tidak terdeteksi oleh pemindai populer. Kekurangannya adalah pihak "baik" juga dapat melihatnya.

"Secara spesifik dari keluaran simbol, kami melihat nama metode (fileUpload, pDownFinished, run) yang mengungkapkan kemampuan exfiltrasi dan unduh & jalankan," menurut posting blog Objective-See.

"Dan dari string yang tertanam, kami melihat alamat server perintah & kontrol yang kemungkinan besar, 95.164.17.24:1224 dan juga petunjuk tentang jenis informasi yang dikumpulkan malware untuk exfiltrasi. Secara khusus, ID ekstensi browser dari dompet cryptocurrency populer, jalur data browser pengguna, dan keychain macOS. String lainnya terkait dengan unduhan dan eksekusi payload tambahan yang tampaknya berupa skrip python berbahaya."

Kemungkinan  ini adalah pekerjaan BlueNoroff, subkelompok dari perusahaan kejahatan siber negara yang terkenal, Lazarus Group. Ada beberapa kasus khas dari BlueNoroff yang sering menghubungi korban potensial dengan kedok sebagai investor atau pencari kerja perusahaan. Jika terlihat seperti bebek, berenang seperti bebek, dan berbunyi seperti bebek, maka kemungkinan besar itu adalah bebek.