Serangan HZ Rat Backdoor MacOS Incar Pengguna WeChat & DingTalk

Peneliti keamanan siber dari Kaspersky telah mengungkapkan temuan mengejutkan terkait varian macOS dari backdoor HZ Rat, yang secara khusus menargetkan pengguna WeChat dan DingTalk, dua aplikasi pesan populer yang banyak digunakan di Tiongkok. Malware yang awalnya ditemukan pada platform Windows ini kini telah beradaptasi dan menyebar ke sistem macOS, memperluas ancamannya terhadap keamanan data pengguna kedua aplikasi tersebut.

Dari Windows ke macOS: Evolusi Malware HZ Rat

HZ Rat pertama kali ditemukan oleh peneliti dari DCSO pada November 2022, dalam bentuk malware yang menargetkan sistem Windows. Saat itu, malware ini memungkinkan penyerang untuk mencuri data dari sistem yang terinfeksi. Dengan munculnya varian baru yang menargetkan macOS, para ahli menduga bahwa kelompok peretas di balik serangan Windows sebelumnya masih aktif dan terus mengembangkan taktik baru untuk mengeksploitasi perangkat yang lebih luas, termasuk ekosistem macOS.

Varian macOS dari HZ Rat didistribusikan melalui penginstal aplikasi palsu bernama "OpenVPN Connect." Dalam metode serangan ini, penginstal tersebut menggabungkan klien VPN yang sah dengan dua berkas berbahaya: backdoor HZ Rat dan skrip otomatis yang meluncurkan backdoor tersebut bersamaan dengan aplikasi VPN. Taktik ini memberikan kesan bahwa aplikasi tersebut aman, sementara di belakang layar, perangkat korban secara diam-diam terhubung ke jaringan penyerang.

Pencurian Data dan Potensi Pergerakan Lateral

Begitu terinstal, backdoor HZ Rat segera aktif dan mulai mengirimkan informasi penting dari perangkat korban. Malware ini menggunakan daftar alamat IP yang telah ditentukan sebelumnya untuk berkomunikasi dengan server penyerang. Seluruh komunikasi dienkripsi, yang membuat deteksi oleh sistem keamanan menjadi lebih sulit.

Sergey Puzan, seorang analis malware senior di Kaspersky, menjelaskan lebih lanjut mengenai temuan ini. "Backdoor macOS HZ Rat mengumpulkan informasi sensitif seperti nama pengguna, alamat email kantor, serta nomor telepon dari berkas data WeChat dan DingTalk yang tidak dilindungi. Ini adalah langkah awal dari serangan yang lebih canggih."

Walaupun malware ini tampaknya hanya mengumpulkan data pengguna pada tahap awal, ada indikasi bahwa serangan ini bisa berkembang menjadi lebih serius. Beberapa varian dari malware ini menggunakan alamat IP lokal untuk berkomunikasi dengan server penyerang, yang menunjukkan potensi pergerakan lateral di dalam jaringan korban. Dengan kata lain, penyerang dapat memanfaatkan malware ini untuk melancarkan serangan lebih besar di dalam jaringan perusahaan atau organisasi yang lebih luas.

Potensi Serangan Terarah di Masa Depan

Penemuan varian macOS dari HZ Rat menandakan bahwa kelompok peretas di balik serangan ini memiliki strategi yang berkelanjutan dan mungkin sedang merencanakan serangan yang lebih terarah di masa depan. Data yang telah dikumpulkan dari korban dapat digunakan untuk mendapatkan intelijen lebih lanjut, yang pada akhirnya dapat mengarah pada serangan siber yang lebih besar dan lebih terstruktur.

Meskipun belum ada kejelasan mengenai tujuan akhir dari serangan ini, data yang telah dicuri bisa memberikan penyerang keuntungan signifikan dalam merancang serangan berikutnya. Oleh karena itu, sangat penting bagi individu dan perusahaan yang menggunakan aplikasi WeChat dan DingTalk untuk tetap waspada dan mengambil langkah-langkah perlindungan yang tepat.

Langkah-Langkah untuk Melindungi Diri dari Malware HZ Rat

Kaspersky memberikan beberapa rekomendasi untuk mengurangi risiko terinfeksi oleh malware berbahaya seperti HZ Rat:

1. Unduh aplikasi hanya dari toko resmi: Meskipun tidak menjamin keamanan sepenuhnya, aplikasi dari toko resmi setidaknya telah melalui proses pemeriksaan oleh pengelola toko dan sistem penyaringan keamanan.

2. Gunakan solusi keamanan siber yang andal: Pilih produk keamanan yang dapat membatasi penggunaan aplikasi atau situs web yang mencurigakan, serta memberikan perlindungan waktu nyata terhadap ancaman.

3. Pilih solusi keamanan dengan kemampuan investigasi dan respons: Produk seperti Kaspersky Next menawarkan visibilitas ancaman yang lebih baik, serta kemampuan untuk merespons ancaman secara cepat melalui investigasi mendalam menggunakan EDR (Endpoint Detection and Response) dan XDR (Extended Detection and Response).

4. Perbarui perangkat lunak secara rutin: Memastikan semua perangkat memiliki versi perangkat lunak terbaru akan mencegah penyerang memanfaatkan kerentanan yang belum diperbaiki.

5. Gunakan perlindungan di semua perangkat: Instal solusi keamanan yang kuat tidak hanya pada komputer, tetapi juga pada perangkat seluler.