Telset.id – Sebuah malware baru bernama PamStealer menyasar pengguna macOS dengan menyamar sebagai aplikasi Maccy, clipboard manager populer yang bersifat open-source. Peneliti keamanan dari Jamf menemukan bahwa versi palsu ini tidak hanya mencuri data, tetapi juga mampu menjebak korban untuk menyerahkan kata sandi login mereka.
Ancaman ini menyebar melalui file disk image yang berisi file AppleScript. File tersebut dirancang untuk meniru tampilan dan fungsi Maccy asli. Ketika korban membuka file tersebut, macOS akan menjalankannya di Script Editor, bukan sebagai aplikasi biasa. Petunjuk di layar kemudian meminta pengguna untuk menekan tombol Command-R.
Langkah ini terlihat seperti bagian dari proses instalasi yang tidak biasa. Namun, menurut laporan Jamf, tindakan tersebut justru menjalankan kode berbahaya yang tersembunyi dan memulai serangan. “Fake Maccy installer tells users to press Command-R or click Run,” demikian bunyi temuan peneliti.

Bagian awal dari serangan ini dirancang untuk beroperasi secara diam-diam. Alih-alih menggunakan alat baris perintah umum macOS yang sering dipantau oleh tim keamanan, PamStealer memanfaatkan fitur otomatisasi bawaan Apple untuk mengunduh dan meluncurkan tahap berikutnya. Setelah itu, payload malware bersembunyi di dalam bundle aplikasi yang menyamar sebagai komponen macOS asli.
Jamf menemukan sampel PamStealer yang menyamar sebagai aplikasi Finder atau Software Update. Komponen palsu ini berjalan di latar belakang dan menggunakan ikon Finder milik Apple, membuat serangan terlihat lebih meyakinkan bagi pengguna yang tidak curiga. Untuk pengguna yang sering mengunduh aplikasi dari sumber tidak resmi, ancaman ini sangat berbahaya, terutama jika dibandingkan dengan kehadiran aplikasi resmi seperti ClipboardAI yang aman digunakan.
Trik paling berbahaya dari PamStealer adalah kemampuannya menampilkan password prompt. Malware ini menampilkan dialog asli macOS yang bertuliskan Maccy wants to make changes dan meminta pengguna memasukkan kata sandi. Kata sandi yang dimasukkan kemudian diverifikasi melalui sistem login macOS. Jika salah, prompt akan muncul kembali hingga kata sandi yang benar dimasukkan.
Setelah kata sandi berhasil ditangkap, malware menampilkan pesan palsu yang menyatakan bahwa Maccy rusak dan tidak dapat dibuka. Peneliti juga menemukan bahwa PamStealer dapat memantau clipboard, mendaftarkan dirinya untuk berjalan kembali setelah login, dan kemudian meminta akses Full Disk Access. Dalam pengujian, permintaan tersebut muncul hingga 40 menit kemudian, sehingga sulit menghubungkannya dengan installer palsu.
Pengguna Mac yang menginginkan aplikasi manajemen clipboard harus sangat berhati-hati. Saluran resmi Maccy kini memperingatkan pengguna tentang situs web palsu dan menunjuk ke maccy.app sebagai satu-satunya tempat yang sah untuk mendapatkan aplikasi tersebut. Ancaman PamStealer ini juga mengingatkan pengguna untuk selalu waspada terhadap aplikasi yang meminta izin tidak biasa, terutama setelah menginstal aplikasi dari sumber yang tidak dikenal.
Pengguna yang sudah menggunakan Gemini Spark atau aplikasi produktivitas lain di macOS disarankan untuk hanya mengunduh perangkat lunak dari sumber resmi. Serangan PamStealer membuktikan bahwa bahkan aplikasi sederhana seperti clipboard manager bisa menjadi pintu masuk bagi malware berbahaya.





Komentar
Belum ada komentar.