Serangan siber kembali berkembang dengan cara yang makin halus. Kali ini, aktor ancaman asal Korea Utara yang dikenal sebagai Sapphire Sleet meluncurkan kampanye baru yang menargetkan pengguna macOS. Modusnya cukup cerdik: menggunakan update Zoom SDK palsu untuk mengelabui korban agar menjalankan file berbahaya yang bisa mencuri password, aset cryptocurrency, hingga data pribadi.
Baca Juga : Google AI Mode Kini Bisa Bantu Cari Produk Tersedia di Sekitar
Menariknya, serangan ini tidak memanfaatkan celah teknis pada sistem. Sebaliknya, pelaku mengandalkan social engineering—alias memanipulasi psikologis korban—untuk mencapai tujuannya.
Modus Serangan
Serangan ini dimulai dari skenario yang terlihat meyakinkan. Sapphire Sleet menyamar sebagai recruiter di platform profesional, lalu membangun komunikasi dengan calon korban melalui percakapan karier.
Setelah kepercayaan terbentuk, korban akan dijadwalkan mengikuti wawancara teknis palsu. Di sinilah jebakan dimulai.
Korban diarahkan untuk mengunduh file bernama “Zoom SDK Update.scpt”, yaitu file AppleScript yang telah dikompilasi. File ini akan terbuka melalui aplikasi bawaan macOS, yaitu Script Editor.
Karena Script Editor adalah aplikasi resmi dari Apple, sistem macOS tidak memberikan peringatan apa pun. Di layar, korban hanya melihat instruksi update biasa. Padahal, di balik ribuan baris kosong tersembunyi kode berbahaya yang siap dijalankan.
Temuan Microsoft dan Respons Apple
Kampanye ini pertama kali diidentifikasi oleh tim Microsoft Threat Intelligence. Mereka mencatat bahwa pola serangan ini cukup unik, terutama dalam penggunaan AppleScript sebagai alat khusus untuk mencuri kredensial—sesuatu yang belum pernah dikaitkan sebelumnya dengan Sapphire Sleet.
Setelah investigasi, Microsoft membagikan temuannya ke Apple melalui mekanisme responsible disclosure. Apple pun merespons dengan merilis pembaruan keamanan, termasuk:
- Update signature pada XProtect
- Peningkatan perlindungan Safe Browsing di Safari
Langkah ini bertujuan untuk mendeteksi dan memblokir infrastruktur yang digunakan dalam kampanye tersebut.
Target Utama
Sapphire Sleet tidak menyerang secara acak. Target mereka cukup spesifik, yaitu individu dan organisasi di sektor:
- Cryptocurrency
- Keuangan
- Venture capital
- Blockchain
Begitu malware aktif, dampaknya cukup serius. Data yang bisa dicuri meliputi:
- Password login pengguna
- Data sesi Telegram
- Kredensial browser
- Kunci wallet crypto (seperti Ledger Live dan Exodus)
- SSH keys
- Database keychain macOS
Semua data ini kemudian dikompresi dan dikirim secara diam-diam ke server milik penyerang melalui port 8443.
Bisa Lewati Sistem Keamanan macOS?
Salah satu hal yang membuat serangan ini berbahaya adalah kemampuannya melewati berbagai lapisan keamanan macOS, termasuk:
- Gatekeeper
- Transparency, Consent, and Control (TCC)
Caranya? Dengan membuat korban menjalankan file secara manual. Ketika pengguna sendiri yang mengeksekusi file, sistem menganggapnya sebagai tindakan yang sah, sehingga perlindungan otomatis tidak lagi efektif.
Di sinilah pentingnya kesadaran pengguna sebagai garis pertahanan utama.
Bagaimana Malware Bekerja
.webp "Bagaimana Malware Bekerja")
Setelah file dijalankan, serangan berlangsung dalam beberapa tahap yang cukup cepat.
Pertama, script akan memanggil binary resmi macOS bernama softwareupdate, namun dengan parameter yang tidak valid untuk menyamarkan aktivitasnya. Lalu, menggunakan perintah curl, sistem akan mengambil payload AppleScript dari server jarak jauh dan menjalankannya melalui osascript.
Proses ini berlangsung dalam lima tahap, yang ditandai dengan user-agent seperti mac-cur1 hingga mac-cur5. Ini memungkinkan pelaku mengontrol distribusi payload sekaligus memantau progres serangan.
Pada tahap awal (mac-cur1), malware mengumpulkan informasi sistem, mendaftarkan perangkat ke server command-and-control, dan menginstal komponen monitoring bernama com.apple.cli.
Selain itu, backdoor bernama services akan memasang launch daemon dengan nama com.google.webkit.service.plist. Nama ini sengaja dibuat mirip layanan resmi agar tidak menimbulkan kecurigaan dan tetap aktif meski perangkat di-restart.
.webp "Bagaimana Malware Bekerja")
Tahap berikutnya (mac-cur2) menghadirkan aplikasi palsu bernama systemupdate.app yang menampilkan dialog password seperti sistem asli. Saat korban memasukkan password, malware langsung memverifikasinya dan mengirimkannya ke server melalui Telegram Bot API.
Sebagai penutup, aplikasi palsu lain bernama softwareupdate.app akan menampilkan pesan bahwa update berhasil, sehingga korban tidak curiga.
Eksploitasi Data dan Cara Pencegahan
Untuk mengakses data sensitif, tahap mac-cur3 memanipulasi database TCC dengan cara mengubah sementara folder terkait izin akses. Dengan begitu, malware bisa mengakses file penting tanpa memunculkan notifikasi izin.
Script sepanjang ratusan baris kemudian mengumpulkan berbagai kategori data dan mengirimkannya ke server penyerang.
Agar tetap aman, ada beberapa langkah yang bisa kamu lakukan:
- Hindari menjalankan perintah atau file dari sumber tidak dikenal, apalagi dalam proses wawancara online
- Blokir file AppleScript dengan format .scpt jika tidak diperlukan
- Periksa LaunchDaemon untuk entri yang mencurigakan
- Pantau perubahan pada database TCC
- Selalu update macOS agar perlindungan XProtect dan Safe Browsing tetap aktif
Baca Juga : Bug Zoom Rooms di Windows & macOS Buka Jalan Hacker untuk Privilege Escalation
Kesimpulan
Kasus ini menunjukkan bahwa serangan siber tidak selalu soal celah teknis, tapi juga soal bagaimana pelaku memanfaatkan kelengahan manusia. Dengan pendekatan yang terlihat “normal” seperti proses rekrutmen, Sapphire Sleet berhasil menyusup tanpa memicu kecurigaan awal.
Karena itu, penting untuk tetap waspada, terutama saat diminta menjalankan file atau perintah yang tidak biasa. Di era digital seperti sekarang, keamanan bukan hanya tanggung jawab sistem, tapi juga pengguna.
