Malware ChillyHell Akali Keamanan App Store
lebakcyber.net – Malware ChillyHell Akali Keamanan App Store. Salah seorang peneliti keamanan yang berasal dari Jamf Threat Labs menginformasikan mengenai temuannya tentang adanya backdoor yang ada di App Store untuk perangkat Mac.
Malware yang bernama ChillyGHell tersebut diketahui mampu mengakali sistem keamanan yang dimiliki oleh App Store Mac dari tahun 2021 lalu. Hal tersebut artinya, malware ChillyHell dapat berjalan pada sistem Mac tanpa menimbulkan peringatan kepada para penggunanya.
Laporan dari Mandian di tahun 2023 lalu menginformasikan kalau keluarga dari malware ChillyHell tersebut telah terendus keberadaannya sejak lama dan mengatakan kalau malware tersebut berhubungan dengan kelompok hacker bernama UNC4487, yang terkenal karena sudah berhasil membobol situs milik pemerintahan Ukraina di tahun 2022.
Pada serangan tersebut, UNC4487 menyusupkan sebuah malware bernama Matanbhucus. Selanjutnya tim peneliti berhasil menemukan sampel tambahan yang menghubungkan malware Matanbuchus dengan sertifikat pengembang yang sama, salah satunya bernama ChillyHell. Hasil laporan dari Jamf Threat Labs melengkapi data teknis yang masih belum lengkap mengenai malware tersebut.
ChillyHell yang berhasil mengakali sistem keamanan memiliki tujuan untuk melindungi data dari para penggunanya dengan melakukan pengecekan software yang kemungkinan mengandung malware. Jadi pada saat pengembang mengirim aplikasi, pihak Apple langsung melakukan proses pemindaian pada aplikasi tersebut. Kalau aplikasi tersebut mampu melewatinya dan bisa mendapatkan status “notarized”, aplikasi tersebut dapat berjalan tanpa menimbulkan peringatan pada fitur Gatekeeper di sistem operasi MacOS.
ChillyHell sendiri dibuat dengan memakai ID pengembang serta mendapatkan status notarized sejak tahun 2021 lalu, yang membuat malware tersebut bisa berkeliaran seperti software normal.
Semenjak itu pula, software tersebut disimpan secara publik di aplikasi Dropbox. Dan untuk status sertifikatnya tersebut baru dilakukan pencabutan oleh pihak Apple setelah Jamf Threat Labs melaporkan hasil temuannya.
Malware ChillyHell sendiri dibuat dengan menggunakan bahasa C++ modular serta mengincar Mac yang berbasiskan Intel. Sampel yang diuji melakukan peniruan applet MacOS yang tidak berbahaya. Tapi pada saat diajalankan, malware tersebut berhasil melakukan proses profilling kepada perangkat korbannya serta membuka perintah control dan juga command.
Malware tersebut dapat menginstall dirinya sebagai sebuah LaunchAgent untuk para pemakai, LaunchDaemon untuk mendapatkan akses root dan juga memasukan perintah kedalam file profil shell.
Sekarang ini pihak Apple telah melakukan pemblokiran sertifikat untuk ChillyHell sehingga sekarang sudah tidak bisa lagi diinstall. Tapi untuk perangkat yang telah terinfeksi harus melakukan proses pemindaian dan membersihkannya secara manual.
