Metode Baru ClickFix Targetkan macOS, Manfaatkan Terminal untuk Pasang Infostealer Secara Diam-diam

Sebuah kampanye siber berbahaya yang dikenal dengan nama ClickFix kini mulai menyasar para pengguna macOS. Menggunakan teknik rekayasa sosial (social engineering) yang cerdik, kampanye ini memanfaatkan perintah Terminal untuk mengunduh, memasang (mount), dan menjalankan malware pencuri data secara senyap melalui file disk image (DMG).

Serangan ini bertujuan untuk menginfeksi perangkat Mac dengan malware jenis Atomic macOS Stealer (AMOS). Jenis infostealer ini memiliki kemampuan berbahaya untuk menguras kredensial peramban, data dompet kripto, informasi Keychain, riwayat aplikasi pesan instan, hingga dokumen pribadi milik korban.

Modus Operandi Berkedok Verifikasi CAPTCHA Palsu

Berdasarkan temuan dari para peneliti keamanan di Palo Alto Networks Unit 42, serangan bermula ketika pengguna mengunjungi situs web berbahaya yang menampilkan halaman CAPTCHA palsu. Halaman tersebut meminta pengguna untuk membuktikan diri bahwa mereka bukan robot dengan cara membuka aplikasi Terminal di Mac mereka dan menempelkan (paste) perintah khusus yang sudah disediakan oleh pelaku.

Begitu perintah tersebut dieksekusi oleh korban, skrip berbahaya akan bekerja di latar belakang. Perintah ini mengunduh file DMG dari server yang dikendalikan peretas, lalu menggunakan utilitas bawaan macOS bernama hdiutil untuk melakukan proses mount secara diam-diam. Setelah itu, skrip akan mencari paket aplikasi di dalamnya dan langsung meluncurkannya secara otomatis tanpa interaksi lanjutan dari pengguna.

Teknik ClickFix sendiri bukanlah hal baru di dunia kejahatan siber. Metode ini sering kali menggunakan visual CAPTCHA tiruan, peringatan kesalahan peramban, atau notifikasi sistem palsu guna memanipulasi korban agar bersedia mengikuti instruksi perbaikan yang merusak. Meski sebelumnya serangan berbasis DMG pada Mac memerlukan keterlibatan manual dari pengguna untuk membuka file, kampanye terbaru ini selangkah lebih maju dengan mengotomatisasi seluruh proses eksekusi melalui satu baris perintah Terminal.

Alur Eksekusi dan Kompromi Sistem

Secara teknis, perintah Terminal yang disalin oleh korban menggunakan perintah curl dengan parameter “-fsSL” untuk mengunduh file DMG berbahaya dari domain eksternal dan menyimpannya ke dalam direktori /tmp dengan nama acak.

Selanjutnya, perintah hdiutil attach -nobrowse dijalankan. Penggunaan opsi -nobrowse ini sangat krusial karena membuat proses mount disk image berlangsung sepenuhnya di latar belakang, tanpa memunculkan ikon baru di Finder ataupun di desktop korban. Skrip kemudian memindai direktori hingga beberapa level untuk mencari installer berformat .app atau .pkg dan mengeksekusinya menggunakan perintah open.

Dalam analisisnya, peneliti mendeteksi payload berupa aplikasi bernama NNApp.app di dalam volume DMG yang terpasang. Setelah aktif di dalam sistem, malware AMOS akan memunculkan jendela pop-up otentikasi System Preferences palsu. Tujuannya adalah mengelabui pengguna agar memasukkan kata sandi sistem mereka, yang kemudian langsung direkam oleh malware tersebut.

Target Penjarahan Data Skala Besar

Malware AMOS ini memiliki target operasional yang sangat luas di dalam perangkat korban:

• Peramban Berbasis Chromium: Menargetkan setidaknya delapan peramban populer seperti Google Chrome, Microsoft Edge, Brave, Opera, Arc, Vivaldi, CocCoc, dan Yandex untuk mencuri cookies, database login, informasi autofill, data kartu pembayaran, serta profil pengguna.
• Peramban Berbasis Firefox: Menyasar LibreWolf, SeaMonkey, Tor Browser, Waterfox, dan Zen Browser dengan target pencurian data yang serupa.
• Dompet Kripto: Melakukan pemindaian terhadap ekstensi atau aplikasi dompet digital seperti Exodus, Electrum, Atomic Wallet, Wasabi Wallet, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance Wallet, Dogecoin Wallet, dan TonKeeper. Yang lebih berbahaya, malware ini diketahui mampu mengganti instalasi resmi dari aplikasi Ledger Live dan Trezor Suite dengan versi palsu untuk memfasilitasi pencurian aset kripto.
• Data Sensitif Lainnya: Mengambil basis data Apple Notes, cookies milik Safari, file database Apple Keychain, serta dokumen lokal pengguna yang memiliki ekstensi .pdf, .txt, atau .rtf.

Seluruh data yang berhasil dijarah kemudian dikompresi ke dalam format ZIP dan diunggah ke server command-and-control (C2) milik peretas untuk dieksploitasi lebih lanjut.

Sebagai langkah pencegahan, pengguna macOS sangat diimbau untuk selalu waspada dan tidak sembarangan menuruti perintah dari situs web yang meminta pembukaan Terminal, terutama yang mengklaim sebagai bagian dari proses verifikasi atau perbaikan sistem.

Sumber: Palo Alto Networks Unit 42