LastPass Peringatkan Serangan Malware Lewat Password Manager Palsu di macOS
LastPass mengeluarkan peringatan terkait kampanye berbahaya yang menargetkan pengguna macOS melalui perangkat lunak palsu yang menyamar sebagai aplikasi populer. Aplikasi tiruan ini disebarkan lewat repositori GitHub palsu dan digunakan untuk menyuntikkan malware pencuri data Atomic (AMOS) melalui skema ClickFix.
Cara Serangan Bekerja
- Penyerang membuat banyak repositori GitHub palsu yang diklaim resmi, dioptimalkan dengan SEO agar muncul di hasil pencarian Google dan Bing.
- Halaman repositori menampilkan tombol “Download” yang mengarahkan korban ke situs kedua.
- Di sana, korban diminta menyalin perintah ke Terminal macOS.
- Perintah tersebut menjalankan curl request ke URL terenkripsi base64 dan mengunduh payload AMOS (install.sh) ke direktori /tmp.
Malware AMOS: Lebih Berbahaya dengan Backdoor
AMOS adalah layanan malware-as-a-service yang disewakan sekitar $1.000 per bulan. Awalnya berfokus pada pencurian data dari perangkat terinfeksi, kini AMOS telah dilengkapi komponen backdoor untuk memberi akses persisten dan tersembunyi bagi penyerang.
Aplikasi Populer yang Ditiru
Selain LastPass, kampanye ini juga menyamar sebagai lebih dari 100 aplikasi terkenal, di antaranya:
- 1Password
- Dropbox
- Confluence
- Robinhood
- Fidelity
- Notion
- Gemini
- Audacity
- Adobe After Effects
- Thunderbird
- SentinelOne
Ancaman ClickFix di macOS
Jenis serangan ini memanfaatkan ketidaktahuan korban yang mengeksekusi perintah tanpa memahami fungsinya. BleepingComputer sebelumnya juga melaporkan serangan serupa yang meniru Booking.com serta aplikasi solusi palsu untuk masalah spesifik macOS.
Tips Menghindari Serangan
- Unduh perangkat lunak hanya dari situs resmi vendor.
- Waspadai jika versi macOS tidak tersedia di situs resmi—varian tidak resmi kemungkinan besar palsu.
- Untuk aplikasi port macOS, pastikan berasal dari vendor bereputasi yang telah diverifikasi komunitas.
- Jangan pernah menjalankan perintah Terminal yang tidak dipahami atau berasal dari sumber meragukan.
Kampanye ini masih terus dipantau LastPass, namun repositori palsu dapat dengan mudah dibuat ulang oleh pelaku. Karena itu, kewaspadaan pengguna menjadi pertahanan utama.
Sumber: LastPass
