Perangkat lunak perusak
Diposting pada 20 Oktober 2022 oleh Joshua Long
Para peneliti baru-baru ini menemukan kerangka kerja serangan malware baru yang dikenal sebagai Alchimist. Pelaku ancaman menggunakan Alchimist untuk menginfeksi dan mengontrol komputer macOS, Linux, dan Windows dari jarak jauh. Kemungkinan besar telah digunakan di alam liar.
Menariknya, Alchimist ditemukan bersama aplikasi Mac berbahaya yang dirancang untuk mengeksploitasi kerentanan yang diketahui (CVE-2021-3034) di Polkit pkexec, utilitas baris perintah yang memungkinkan pengguna yang berwenang untuk menjalankan aplikasi seolah-olah mereka adalah pengguna lain.
Kerentanan—dijuluki PwnKit, plesetan dari nama Polkit—dapat dieksploitasi untuk memungkinkan penyerang mendapatkan eskalasi hak istimewa lokal. Ini berarti penyerang dapat menjalankan perintah atau perangkat lunak berbahaya dengan hak administratif penuh. Cacat pkexec tidak terdeteksi selama lebih dari dua belas tahun sebelum para peneliti menemukannya pada November 2021.
Meskipun utilitas pkexec disertakan secara default dengan setiap distribusi Linux utama, Apple tidak menyertakannya dengan sistem operasi Mac. Oleh karena itu tidak sepenuhnya jelas mengapa pengembang Alchimist merancang malware Mac untuk mengeksploitasi kerentanan dalam utilitas yang tidak disertakan dengan macOS. Mungkin pembuat malware berharap untuk menginstal pkexec dan kemudian mengeksploitasinya pada Mac yang ditargetkan, atau mungkin mereka menargetkan seseorang yang diketahui menggunakan pkexec di Mac.
Bagaimana cara menghapus atau mencegah malware terkait Alchimist?
Intego VirusBarrier X9, disertakan dengan Paket Premium Mac Intego X9dapat melindungi, mendeteksi, dan menghilangkan malware dan eksploitasi yang terkait dengan kerangka kerja Alchimist.
Jika Anda yakin Mac Anda mungkin telah terinfeksi, atau untuk mencegah infeksi di masa mendatang, sebaiknya gunakan perangkat lunak antivirus dari pengembang Mac tepercaya. VirusBarrier adalah perangkat lunak antivirus pemenang penghargaan, dirancang oleh pakar keamanan Mac, yang mencakup perlindungan waktu nyata. Ini berjalan secara native di Mac berbasis silikon Intel dan Apple, dan kompatibel dengan sistem operasi Mac Apple yang akan datang, macOS Ventura.
Jika Anda pengguna Windows, Antivirus Intego untuk Windows dapat melindungi PC Anda dari ancaman terkait Alchimist juga.
Apakah Alchimist dikenal dengan nama lain?
Vendor lain juga dapat menggunakan nama keluarga malware Insekt, EternalBlue, atau Reshel untuk berbagai komponen.
Indikator kompromi (IoC)
Hash SHA-256 berikut milik file yang diketahui terkait dengan Alchimist dan kampanye malware terkait:
0c25a05bdddc144fbf1ffa29372481b50ec6464592fdfb7dec95d9e1c6101d0d 21774b77bbf7739178beefe647e7ec757b08367c2a2db6b5bbc0d2982310ef12 2da9a09a14c52e3f3d8468af24607602cca13bc579af958be9e918d736418660 2f4ef5da60db676272ad102ce0ce7d96f63449400e831a2c6861cf3e61846785 3329dc95c8c3a8e4f527eda15d64d56b3907f231343e97cfe4b29b51d803e270 3b37dacfaf4f246105b399aa44700965931d6605b8e609feeb511050fc747a0b 43a749766b780004527b34b3816031c204b31e8dea67af0a7a05073ff1811046 4837be90842f915e146bf87723e38cc0533732ba1a243462417c13efdb732dcb 56ca5d07fa2e8004a008222a999a97a6c27054b510e8dd6bd22048b084079e37 574467b68ba2c59327d79dfc12e58577d802e25a292af3b3b1e327858a978e4a 57e4b180fd559f15b59c43fb3335bd59435d4d76c4676e51a06c6b257ce67fb2 ae9f370c89f0191492ed9c17a224d9c41778b47ca2768f732b4de6ee7d0d1459 b44105e3a480e55ac0d8770074e3af92307d172b050beb7542a1022976f8e5a2 c9ec5cc0165d1b84fcb767359cf05c30bd227c1f76fbd5855a1286371c08c320 ca72fa64ed0a9c22d341a557c6e7c1b6a7264b0c4de0b6f717dd44bddf550bca d80fb2c0fb95f79ab7b356b9e3b33a0553e0e5240372620e87e5be445c5586f8 d94fa98977a9f23b38d6956aa2bf293cf3f44d1d24fd13a8789ab5bf3e95f560 ec8617cc24edd3d87a5f5b4ae14e2940e493e4cc8e0a7c28e46012481ca58080 ed487be94bb2a1bc861d9b2871c71aa56dc87f157d4bf88aff02f0054f9bbd41 ef130f1941077ffe383fe90e241620dde771cd0dd496dad29d2048d5fc478faf
Alamat IP berikut tampaknya memiliki kaitan dengan malware ini atau kampanye terkait.
3.86.255[.]88 45.32.132[.]166 95.179.246[.]73 149.28.36[.]160 149.28.54[.]212
Administrator jaringan dapat memeriksa log untuk mencoba mengidentifikasi apakah ada komputer di jaringan mereka yang mencoba menghubungi salah satu IP ini, yang dapat mengindikasikan kemungkinan infeksi.
Bagaimana saya bisa belajar lebih banyak?
Untuk detail teknis tambahan tentang kerangka serangan Alchimist dan penggunaannya dalam kampanye malware baru-baru ini, Anda dapat membaca artikel terbaru oleh C. Raghuprasad, A. Malhotra, V. Ventura, dengan M. Thaxton.
Kami membahas Alchimist secara singkat di episode 262 Podcast Intego Mac. Pastikan untuk mengikuti podcast untuk memastikan Anda tidak melewatkan episode apa pun!
Anda juga dapat berlangganan kami buletin email dan pantau terus disini Blog Keamanan Mac untuk berita keamanan dan privasi Apple terbaru. Dan jangan lupa untuk mengikuti Intego di saluran media sosial favorit Anda:
Tentang Joshua Long
Joshua Long (@theJoshMeister), Kepala Analis Keamanan Intego, adalah peneliti keamanan, penulis, dan pembicara publik yang terkenal. Josh memiliki gelar master di bidang TI yang berkonsentrasi pada Keamanan Internet dan telah mengambil kursus tingkat doktor dalam Keamanan Informasi. Apple telah secara terbuka mengakui Josh karena menemukan kerentanan otentikasi ID Apple. Josh telah melakukan penelitian keamanan siber selama lebih dari 20 tahun, yang sering ditampilkan oleh outlet berita utama di seluruh dunia. Cari lebih banyak artikel Josh di security.thejoshmeister.com dan ikuti dia di Twitter. Lihat semua posting oleh Joshua Long →