Tag: sentinelone

Hari Valentine identik dengan cinta dan kebahagiaan, namun bagi penjahat siber, momen ini merupakan kesempatan emas untuk memanfaatkan emosi dan kepercayaan demi keuntungan finansial. Mereka tidak pernah libur; justru, mereka meningkatkan aktivitasnya selama musim perayaan dengan memanfaatkan tren dan peristiwa terkini untuk menjebak korban yang tidak waspada. Mulai dari penipuan pengiriman bunga palsu, jebakan asmara, hingga kampanye phishing yang menyamar sebagai promosi hadiah kilat, para pelaku kejahatan siber terus mengembangkan taktiknya seiring perkembangan zaman.   Dari Cinta Menjadi Penipuan: Skema Jebakan Asmara Salah satu bentuk penipuan yang marak terjadi adalah “jebakan asmara”. Dalam skema ini, penipu mendekati target melalui media sosial, aplikasi kencan, atau platform pesan instan dengan berpura-pura membangun hubungan yang tulus. Seiring waktu, mereka membangun kepercayaan dan ikatan emosional dengan korban. Namun, tujuan akhir mereka bukanlah cinta, melainkan eksploitasi finansial. Setelah kepercayaan korban didapat, penipu mulai memperkenalkan peluang investasi palsu, seringkali terkait dengan cryptocurrency atau venture finansial lainnya. Mereka meyakinkan korban bahwa investasi ini akan memberikan keuntungan besar, bahkan menunjukkan bukti keuntungan palsu untuk menambah kredibilitas. Korban yang percaya kemudian mentransfer uang ke akun yang dikendalikan oleh penipu. Seiring berjalannya waktu, korban didorong untuk menginvestasikan lebih banyak uang hingga jumlah yang signifikan. Tanpa peringatan, penipu menghilang bersama uang tersebut, memutus semua kontak dengan korban. FBI melaporkan peningkatan tajam dalam penipuan semacam ini dalam beberapa tahun terakhir, dengan kerugian akibat penipuan investasi meningkat dari $3,31 miliar pada tahun 2022 menjadi $4,57 miliar pada tahun 2023. Selain kerugian finansial, penipuan jebakan asmara seringkali menyebabkan dampak emosional dan psikologis yang signifikan. Korban sering mengalami stres dan trauma mendalam setelah menyadari bahwa mereka telah ditipu oleh seseorang yang mereka percayai. Dalam beberapa kasus, beban emosional ini begitu berat sehingga korban mengambil tindakan tragis. Interpol kini menganjurkan penggunaan istilah “jebakan asmara” untuk menggantikan istilah sebelumnya yang memiliki konotasi negatif, guna mengalihkan fokus dari menyalahkan korban ke penipuan terencana yang dilakukan oleh pelaku. Mendorong korban untuk melapor tanpa rasa malu sangat penting, karena pelaporan tepat waktu dapat membantu mencegah penipuan di masa mendatang dan membantu dalam melacak penjahat siber. Kesadaran dan edukasi tetap menjadi pertahanan terbaik melawan skema penipuan yang merusak ini.   Perangkap Hari Valentine: Penipuan Kartu Hadiah Bertema Liburan Kartu hadiah menjadi pilihan populer bagi mereka yang mencari hadiah Hari Valentine secara cepat, menjadikannya sasaran empuk bagi penipu. Setiap tahun, penjahat siber memanfaatkan kesibukan liburan dengan merancang penipuan yang bertujuan menipu korban agar memberikan informasi pribadi atau mengirim uang. Salah satu skema yang umum adalah promosi kartu hadiah palsu, di mana korban menerima email, pesan teks, atau iklan media sosial yang mengklaim bahwa mereka telah memenangkan penawaran spesial Hari Valentine. Pesan-pesan ini sering kali berisi tautan yang mendesak penerima untuk “klaim kartu hadiah eksklusif Anda” atau “tebus liburan romantis Anda sekarang”. Mengklik tautan berbahaya tersebut biasanya mengarahkan korban ke situs web palsu yang dirancang untuk mencuri detail pribadi, informasi kartu kredit, atau kredensial login. Dalam beberapa kasus, situs tersebut mungkin meminta korban untuk memasukkan informasi pembayaran untuk menutupi “biaya pemrosesan kecil”, memberikan akses langsung kepada penipu ke akun finansial mereka. Versi lain dari penipuan ini melibatkan email phishing yang menyamar sebagai peritel besar, menyarankan bahwa pembelian kartu hadiah memerlukan verifikasi atau bahwa hadiah yang belum diklaim akan segera kedaluwarsa. Selain penipuan digital, penipu juga menggunakan taktik rekayasa sosial untuk meyakinkan korban membeli dan mengirim kartu hadiah secara langsung. Trik umum melibatkan penipu yang berpura-pura sebagai orang terdekat atau bahkan atasan, dengan mendesak meminta kartu hadiah Hari Valentine sebagai bantuan. Setelah korban membagikan detail kartu, penipu menguras saldo dan menghilang. Selalu verifikasi sumber dari penawaran kartu hadiah yang tidak terduga, hindari mengklik tautan mencurigakan—terutama yang tidak Anda harapkan. Saat membeli kartu hadiah, lakukan hanya dari peritel tepercaya. Jika email atau pesan teks tampak terlalu bagus untuk menjadi kenyataan, kemungkinan besar itu adalah penipuan.   Unduhan Palsu, Ancaman Nyata: Unduhan Berbahaya Bertema Hari Valentine Penjahat siber sering memanfaatkan tren musiman, dan Hari Valentine tidak terkecuali. Salah satu taktik yang mereka gunakan adalah unduhan berbahaya yang disamarkan sebagai konten digital bertema liburan, yang mudah dibagikan melalui email atau aplikasi chat antara pasangan, teman, dan anggota keluarga. Baik itu wallpaper bertema, generator kartu elektronik, atau kuis online bertema, penipu membuat unduhan yang disusupi malware yang siap menginfeksi perangkat pengguna yang tidak curiga. Unduhan ini sering dipromosikan melalui email phishing, iklan media sosial palsu, atau toko aplikasi tidak resmi. Trik umum adalah menawarkan wallpaper eksklusif Hari Valentine atau kartu elektronik yang dipersonalisasi yang mengharuskan pengguna menginstal program kecil. Namun, tersembunyi di dalam unduhan ini adalah trojan, spyware, atau ransomware yang dirancang untuk mencuri data pribadi, melacak aktivitas online, atau mengunci

Dalam perkembangan terbaru dunia keamanan siber, berbagai operasi internasional telah berhasil mengganggu aktivitas kelompok ransomware terkenal seperti Phobos, 8Base, dan LockBit. Selain itu, munculnya kelompok ransomware baru bernama Sarcoma telah menambah tantangan dalam lanskap ancaman siber global.   Operasi Internasional Mengguncang Kelompok Ransomware Operasi internasional bertajuk “Phobos Aetor” telah menghasilkan penangkapan empat individu yang diduga memimpin kelompok ransomware 8Base. Para tersangka, yang beroperasi dari Phuket, Thailand, dituduh melakukan lebih dari 1.000 serangan siber di seluruh dunia dan memperoleh sekitar $16 juta dalam bentuk Bitcoin dari para korban. Kelompok 8Base dikenal menargetkan usaha kecil dan menengah (UKM) dengan menggunakan varian ransomware Phobos untuk mengenkripsi data dan menuntut tebusan dalam jumlah besar. Beberapa korban profil tinggi termasuk Nidec Corporation dan Program Pembangunan Perserikatan Bangsa-Bangsa (UNDP). citeturn0search0 Selain itu, otoritas di Amerika Serikat, Inggris, dan Australia telah memberlakukan sanksi terhadap Zservers, penyedia layanan hosting berbasis di Rusia, yang diduga menyediakan infrastruktur untuk operasi ransomware LockBit. Dua warga negara Rusia, Alexander Mishin dan Aleksandr Bolshakov, juga dikenai sanksi karena peran mereka dalam mengelola transaksi mata uang virtual LockBit. Sanksi ini mencakup pembekuan aset dan larangan transaksi dengan individu dan entitas yang ditunjuk. Hadiah sebesar $15 juta ditawarkan bagi informasi yang mengarah pada penangkapan operator, pemilik, administrator, atau afiliasi LockBit.   Serangan Ransomware Sarcoma Terhadap Unimicron Kelompok ransomware baru bernama Sarcoma telah mengklaim bertanggung jawab atas serangan terhadap Unimicron, produsen papan sirkuit cetak (PCB) besar yang berbasis di Taiwan. Sarcoma mengklaim telah mencuri 377 GB data, termasuk file SQL dan dokumen sensitif, dan mengancam akan membocorkan data tersebut jika tebusan tidak dibayarkan. Beberapa data yang dicuri telah dipublikasikan, dan perusahaan tersebut telah ditambahkan ke situs kebocoran data Sarcoma. citeturn0search1 Unimicron mengonfirmasi bahwa serangan terjadi pada 30 Januari 2025, mempengaruhi salah satu anak perusahaannya yang berbasis di Shenzhen, China. Perusahaan menyatakan bahwa dampak serangan tersebut terbatas dan saat ini bekerja sama dengan tim forensik untuk menganalisis insiden dan memperkuat pertahanan mereka. Namun, perusahaan belum mengonfirmasi adanya kebocoran data.   Keterkaitan Antara Ransomware dan Spionase Siber yang Didukung Negara Dalam kampanye terbaru, aktor ancaman yang terkait dengan China, dikenal sebagai Bronze Starlight, telah menggunakan ransomware RA World terhadap perusahaan perangkat lunak dan layanan di Asia Selatan. Serangan ini menonjol karena penggunaan seperangkat alat yang biasanya dikaitkan dengan upaya spionase siber yang disponsori negara China. Para peneliti menemukan bahwa Bronze Starlight menggunakan malware PlugX melalui teknik DLL sideloading, memuat DLL berbahaya melalui executable Toshiba yang sah sebelum meluncurkan payload PlugX yang terenkripsi. Serangan ini juga melibatkan penggunaan NPS proxy, alat komunikasi tersembunyi, dan berbagai payload terenkripsi RC4. Vektor akses awal diduga melalui eksploitasi kerentanan Palo Alto Networks PAN-OS (CVE-2024-0012). citeturn0search4 Insiden ini menambah bukti yang menunjukkan adanya tumpang tindih antara spionase siber dan kejahatan siber yang bermotif finansial. Kelompok APT yang didukung China tampaknya berbagi malware dan infrastruktur, yang semakin mempersulit atribusi dalam ekosistem ancaman yang luas.   Kesimpulan Perkembangan terbaru ini menyoroti upaya kolaboratif komunitas internasional dalam memerangi ancaman ransomware dan spionase siber. Meskipun penegakan hukum telah berhasil mengganggu operasi beberapa kelompok ransomware utama, kemunculan aktor baru seperti Sarcoma menunjukkan bahwa lanskap ancaman siber terus berkembang. Oleh karena itu, penting bagi organisasi dan individu untuk tetap waspada, memperbarui pertahanan siber mereka, dan bekerja sama dengan otoritas terkait untuk mengurangi risiko yang ditimbulkan oleh ancaman ini. Diskusikan team SentinelOne untuk mendapatkan informasi dan upaya pencegahan dari ancaman terbaru berikutnya

Dalam dunia digital yang semakin berkembang pesat, ancaman siber bukan lagi hal yang bisa dianggap enteng. Perusahaan dari berbagai sektor kini menghadapi risiko serangan siber yang semakin kompleks dan canggih. Oleh karena itu, memiliki strategi tanggap insiden yang kuat bukan lagi pilihan, melainkan keharusan. Sebagai salah satu perusahaan terdepan dalam bidang forensik digital dan keamanan siber, CCL terus berinvestasi dalam meningkatkan layanan tanggap insidennya. Baru-baru ini, CCL mengumumkan kemitraan strategis dengan SentinelOne, pemimpin global dalam keamanan siber otonom dan solusi Endpoint Detection and Response (EDR). Langkah ini diyakini akan membawa perubahan besar dalam cara CCL menangani ancaman siber.   Apa Itu SentinelOne dan Mengapa Penting? SentinelOne adalah platform keamanan siber yang berbasis kecerdasan buatan (AI) dan otomatisasi. Teknologi ini memungkinkan perusahaan untuk mendeteksi, mengisolasi, dan menanggulangi ancaman siber secara real-time. Dengan menggunakan Singularity Platform, SentinelOne menawarkan visibilitas penuh terhadap jaringan yang terinfeksi, memungkinkan tim tanggap insiden untuk mengambil tindakan dengan cepat dan tepat. Beberapa keunggulan utama SentinelOne meliputi: ✅ Deteksi Dini Ancaman Siber – Menggunakan AI untuk mendeteksi serangan sebelum menyebabkan kerusakan besar. ✅ Respons Otomatis – Mengisolasi perangkat yang terinfeksi untuk mencegah penyebaran malware atau ransomware. ✅ Pemulihan Cepat – Memungkinkan sistem untuk kembali pulih dengan cepat tanpa perlu pemulihan manual yang rumit. ✅ Efisiensi Sumber Daya – Mengurangi beban kerja analis keamanan dengan otomatisasi yang canggih.   Bagaimana CCL Memanfaatkan Teknologi Ini? Dengan mengadopsi SentinelOne, CCL kini memiliki alat yang lebih kuat untuk menangani insiden keamanan siber dengan lebih efisien. Tim Cyber dan Specialist Services CCL dapat: 🔹 Meningkatkan Kemampuan Deteksi – Mampu mengidentifikasi ancaman lebih awal dan lebih akurat. 🔹 Mempercepat Waktu Respons – Dengan otomatisasi, tim bisa segera bertindak tanpa perlu menunggu proses manual yang lama. 🔹 Mengurangi Beban Kerja Manual – Menggunakan AI untuk melakukan analisis dan investigasi awal secara otomatis. 🔹 Mengurangi Biaya Penanganan Insiden – Karena lebih sedikit sumber daya manusia yang diperlukan untuk menangani ancaman secara langsung. Menurut Adam Shortall, Kepala Tim Investigasi Insiden CCL, kemitraan ini adalah langkah besar dalam mempercepat proses tanggap insiden dan pemulihan bisnis pasca-serangan. “Ini adalah perubahan besar dalam kapabilitas kami. Dengan SentinelOne, kami dapat membantu klien pulih lebih cepat dan lebih hemat biaya dari serangan siber.”   Mengapa Ini Penting bagi Perusahaan? Banyak perusahaan, terutama di sektor bisnis, keuangan, dan pemerintahan, masih mengandalkan sistem keamanan siber yang konvensional. Masalahnya, metode lama sering kali memerlukan waktu lama untuk mendeteksi dan merespons ancaman. Akibatnya, kerusakan yang ditimbulkan bisa sangat besar, baik dari sisi finansial maupun reputasi. Dengan solusi seperti SentinelOne yang diadopsi oleh CCL, perusahaan dapat menikmati manfaat berikut: ✔ Keamanan yang Lebih Proaktif – Tidak hanya menunggu serangan terjadi, tetapi juga mencegahnya sebelum terjadi. ✔ Minim Gangguan Operasional – Serangan siber bisa melumpuhkan sistem, tetapi dengan pemulihan cepat, bisnis bisa terus berjalan. ✔ Efisiensi Biaya – Menangani insiden dengan cepat berarti mengurangi potensi kerugian finansial yang besar. ✔ Perlindungan Lebih Baik terhadap Ransomware – Salah satu ancaman terbesar saat ini adalah serangan ransomware yang dapat mengunci data penting.   Pengalaman Langsung Analis Keamanan CCL Adam Shortall, yang juga merupakan SentinelOne Incident Response Engineer (S1REN) bersertifikat, telah merasakan sendiri bagaimana teknologi ini bekerja. Menurutnya, SentinelOne benar-benar mengubah permainan dalam dunia keamanan siber. Ia mengatakan bahwa sistem ini memberikan visibilitas penuh terhadap jaringan yang terdampak serangan, sehingga analis bisa memahami dengan jelas apa yang sebenarnya terjadi. “Dulu, kita harus mengerahkan banyak tenaga dan sumber daya untuk mengejar peretas dan memahami serangan mereka. Sekarang, SentinelOne melakukan sebagian besar pekerjaan itu untuk kami.” Dengan kata lain, perusahaan kini tidak perlu lagi mengeluarkan biaya besar untuk menyewa banyak analis keamanan. Platform ini memungkinkan analis untuk langsung mengambil keputusan yang diperlukan untuk memulihkan sistem dengan lebih cepat dan efisien.   Kesimpulan: Apakah SentinelOne Solusi Masa Depan? Kemitraan antara CCL dan SentinelOne membuktikan bahwa masa depan tanggap insiden siber akan semakin bergantung pada teknologi AI dan otomatisasi. Dalam dunia yang penuh dengan ancaman digital, kecepatan dalam merespons serangan adalah kunci utama. SentinelOne menawarkan solusi yang tidak hanya lebih cepat tetapi juga lebih efisien dalam menangani ancaman siber. Dengan teknologi ini, perusahaan dapat menghindari kerugian besar akibat serangan yang tidak terdeteksi. Bagi perusahaan yang ingin meningkatkan sistem keamanan mereka, mengikuti jejak CCL dan mengadopsi teknologi seperti SentinelOne bisa menjadi langkah yang sangat bijak. Seperti yang dikatakan Adam Shortall: “Jika saya hanya bisa menambahkan satu teknologi keamanan siber ke dalam toolkit kami saat ini, maka itu pasti SentinelOne.” Jadi, apakah perusahaan Anda siap menghadapi ancaman siber dengan teknologi masa depan? Jika ya, maka SentinelOne bisa menjadi solusi yang tepat untuk memastikan bisnis Anda tetap aman dan berjalan lancar!

Dalam dunia keamanan siber yang terus berkembang, Gartner Magic Quadrant menjadi salah satu tolak ukur utama bagi perusahaan yang ingin memilih solusi terbaik untuk perlindungan endpoint mereka. Salah satu nama yang terus bersinar dalam beberapa tahun terakhir adalah SentinelOne. Dengan rekam jejak yang mengesankan, SentinelOne telah diakui sebagai Pemimpin dalam Gartner Magic Quadrant untuk Platform Perlindungan Endpoint selama empat tahun berturut-turut hingga 2024. Namun, pertanyaannya sekarang adalah: akankah SentinelOne tetap mempertahankan posisinya dalam Gartner Magic Quadrant 2025?   Apa Itu Gartner Magic Quadrant? Gartner Magic Quadrant adalah laporan tahunan yang dikeluarkan oleh Gartner, perusahaan riset dan konsultasi teknologi informasi terkemuka di dunia. Laporan ini mengkategorikan perusahaan teknologi ke dalam empat kuadran berdasarkan kemampuan eksekusi dan kelengkapan visi mereka: Leaders (Pemimpin): Perusahaan yang memiliki eksekusi kuat dan visi strategis yang jelas. Challengers (Penantang): Perusahaan dengan eksekusi kuat tetapi kurang inovatif dalam visinya. Visionaries (Visioner): Perusahaan dengan visi yang kuat tetapi eksekusi yang belum sempurna. Niche Players (Pemain Niche): Perusahaan dengan eksekusi dan visi yang terbatas, sering kali hanya melayani pasar tertentu. Sebagai tolok ukur utama dalam industri, masuk dalam kategori “Leaders” menandakan bahwa perusahaan tersebut telah diakui sebagai pemimpin pasar dengan teknologi canggih dan strategi yang solid.   SentinelOne: Jejak Keberhasilan dalam Gartner Magic Quadrant Sejak pertama kali muncul dalam Gartner Magic Quadrant, SentinelOne terus menunjukkan peningkatan yang luar biasa dalam hal inovasi, efektivitas deteksi ancaman, dan strategi pasar. Beberapa faktor utama yang membuat SentinelOne unggul di bidangnya antara lain: Kemampuan AI yang Canggih SentinelOne menggunakan kecerdasan buatan (AI) untuk mendeteksi dan merespons ancaman secara otomatis tanpa perlu intervensi manusia. Ini memungkinkan respons cepat terhadap serangan siber dan meminimalkan dampak terhadap organisasi. Deteksi dan Respon Endpoint yang Unggul Dibandingkan dengan pesaingnya, SentinelOne menawarkan perlindungan yang lebih kuat dengan analisis perilaku yang canggih. Ini memungkinkan perusahaan untuk mengidentifikasi ancaman yang tidak dikenali oleh solusi keamanan tradisional. Kecepatan dan Efisiensi Dengan pendekatan otomatis yang berbasis AI, SentinelOne dapat mendeteksi dan menangani ancaman dalam hitungan detik, mengurangi waktu yang dibutuhkan untuk analisis manual. Kemudahan Manajemen SentinelOne menyediakan antarmuka yang user-friendly dan integrasi yang mudah dengan berbagai solusi keamanan lainnya, menjadikannya pilihan utama bagi banyak organisasi besar. Rekam Jejak yang Konsisten SentinelOne telah memperoleh pengakuan sebagai Pemimpin dalam Gartner Magic Quadrant selama empat tahun berturut-turut hingga 2024. Ini menunjukkan komitmen mereka terhadap inovasi dan peningkatan layanan.   Prediksi SentinelOne dalam Gartner Magic Quadrant 2025 Meskipun laporan Gartner Magic Quadrant untuk 2025 belum dirilis, ada beberapa faktor yang dapat mempengaruhi posisi SentinelOne: Faktor yang Mendukung SentinelOne untuk Tetap di Puncak Inovasi Berkelanjutan: SentinelOne terus berinvestasi dalam pengembangan teknologi keamanan berbasis AI dan otomatisasi yang dapat meningkatkan efektivitas perlindungan mereka. Ekspansi Pasar: Dengan semakin banyak perusahaan yang mengadopsi teknologi SentinelOne, kehadiran mereka di pasar global semakin kuat. Kemitraan Strategis: SentinelOne menjalin kerja sama dengan berbagai vendor teknologi untuk meningkatkan ekosistem keamanan mereka. Reputasi dan Kepercayaan Pelanggan: Basis pelanggan yang semakin besar dan ulasan positif dari pengguna menunjukkan bahwa SentinelOne tetap menjadi pilihan utama dalam perlindungan endpoint.   Tantangan yang Mungkin Dihadapi Persaingan Ketat: Vendor lain seperti Microsoft Defender, CrowdStrike, dan Palo Alto Networks terus berinovasi untuk merebut pangsa pasar SentinelOne. Perubahan Kriteria Gartner: Jika Gartner mengubah metodologi penilaiannya, bisa saja SentinelOne perlu menyesuaikan diri agar tetap berada di posisi teratas. Ancaman Keamanan yang Semakin Kompleks: Dengan semakin canggihnya serangan siber, SentinelOne harus terus meningkatkan kemampuannya untuk tetap relevan. Kesimpulan Berdasarkan rekam jejak dan inovasi yang terus dilakukan, SentinelOne memiliki peluang besar untuk tetap berada dalam kategori “Leaders” di Gartner Magic Quadrant 2025. Namun, dengan persaingan yang semakin ketat dan tantangan baru di dunia keamanan siber, SentinelOne harus terus beradaptasi dan berinovasi agar tetap mempertahankan posisinya. Bagi organisasi yang mencari solusi keamanan endpoint yang andal, SentinelOne tetap menjadi salah satu pilihan terbaik. Namun, seperti biasa, penting untuk terus memantau perkembangan terbaru dalam laporan Gartner untuk mendapatkan gambaran yang lebih akurat mengenai lanskap keamanan siber di masa depan. Segera menghubungi team SentinelOne Indonesia untuk mendapatkan informasi detailnya

Minggu lalu, Apple merilis pembaruan tanda tangan untuk alat anti-malware di perangkatnya, XProtect, guna memblokir beberapa varian dari apa yang disebut sebagai keluarga malware macOS Ferret: FROSTYFERRET_UI, FRIENDLYFERRET_SECD, dan MULTI_FROSTYFERRET_CMDCODES. Keluarga malware yang dikaitkan dengan DPRK (Korea Utara) ini pertama kali diidentifikasi oleh para peneliti pada bulan Desember dan awal Januari sebagai bagian dari kampanye Contagious Interview, di mana pelaku ancaman menipu target agar menginstal malware melalui proses wawancara kerja. Dalam laporan ini, SentinelOne akan memberikan ringkasan penelitian sebelumnya, termasuk kontribusi Apple melalui tanda tangan malware mereka, sebelum menjelaskan sampel baru yang kami beri nama FlexibleFerret, yang hingga saat ini masih belum terdeteksi oleh XProtect. Gambaran umum mengenai malware ini serta daftar indikator yang dapat digunakan oleh para pemburu ancaman dan tim keamanan. Pelanggan SentinelOne telah terlindungi dari semua varian yang diketahui dari keluarga malware Ferret. Latar Belakang Keluarga FERRET Seperti disebutkan sebelumnya, beberapa komponen malware terkait dengan kampanye Contagious Interview telah dijelaskan dalam laporan sebelumnya. Target biasanya diminta untuk berkomunikasi dengan “pewawancara” melalui tautan yang menghasilkan pesan kesalahan dan meminta mereka menginstal atau memperbarui perangkat lunak yang dibutuhkan, seperti VCam atau CameraAccess untuk pertemuan virtual. Dalam laporan sebelumnya, malware yang diamati menjalankan skrip shell berbahaya dan menginstal agen persistensi serta file eksekusi yang menyamar sebagai pembaruan Google Chrome. Pembaruan tanda tangan Apple minggu lalu menargetkan beberapa komponen dalam kampanye malware ini, termasuk backdoor yang menyamar sebagai file sistem operasi dengan nama com.apple.secd (alias FRIENDLYFERRET), serta modul persistensi ChromeUpdate dan CameraAccess (alias FROSTYFERRET_UI). Tidak mengherankan, indikator dalam keluarga malware FERRET ini memiliki kesamaan dengan kampanye DPRK lainnya, termasuk kampanye Hidden Risk yang baru-baru ini dijelaskan oleh SentinelLABS. Beberapa artefak malware umum dari DPRK yang juga terlihat pada malware tahap 2 dari Hidden Risk adalah penggunaan Dropbox untuk eksfiltrasi data serta penggunaan api.ipify.org untuk menentukan alamat IP publik perangkat korban. FlexibleFerret | Varian Baru dalam Keluarga Malware Sebelum Apple merilis XProtect versi 5286, SentinelLABS telah melacak malware yang diidentifikasi oleh para peneliti sebelumnya serta menganalisis varian dari sampel ChromeUpdate dengan identifikasi Mac-Installer.InstallerAlert. Berbeda dengan sampel sebelumnya, malware ini ditandatangani dengan tanda tangan pengembang Apple yang valid (VFYPGAKSLY) dan Team ID (58CD8AD5Z4). Dari hasil analisis ini, menemukan vektor infeksi baru yang sebelumnya tidak terlihat beserta serangkaian sampel terkait. Paket Instalasi Malware Malware ini disebarkan melalui paket penginstal Apple bernama versus.pkg (388ac48764927fa353328104d5a32ad825af51ce), yang berisi: InstallerAlert.app versus.app File biner bernama “zoom” Skrip postinstall.sh Setelah mendapatkan hak akses yang lebih tinggi, paket penginstal menggunakan skrip postinstall.sh untuk mengeksekusi beberapa komponen di dalam direktori /var/tmp/. Skrip postinstall.sh: Mengeksekusi file zoom jika ditemukan Membuka aplikasi InstallerAlert.app Merekam log eksekusi di /private/tmp/postinstall.log   Cara Kerja FlexibleFerret File “zoom” palsu (ee7a557347a10f74696dc19512ccc5fcfca77bc5) menghubungi domain zoom.callservice[.]us (bukan domain Zoom yang sah). InstallerAlert.app menampilkan pesan kesalahan palsu: “This file is damaged and cannot be opened”, meniru pesan asli dari macOS Gatekeeper untuk mengecoh korban. Malware memasang item persistensi di [~/Library/LaunchAgents/com.zoom.plist], yang menargetkan file eksekusi di /private/var/tmp/logd, menyamar sebagai bagian dari sistem operasi. Saat ini, file logd tidak dapat diperoleh karena C2 (Command & Control) yang terkait sedang tidak aktif. Hubungan InstallerAlert dengan ChromeUpdate Komponen InstallerAlert memiliki 86% kesamaan dengan ChromeUpdate, baik dalam string maupun fungsi. Selain itu, beberapa file yang ditemukan dalam versus.pkg telah diidentifikasi sebagai malware oleh berbagai vendor keamanan, termasuk SentinelOne. Perbedaan utama adalah bahwa InstallerAlert ditandatangani dengan tanda tangan pengembang yang telah dicabut. Namun, dengan memanfaatkan tanda tangan ini, kami berhasil menemukan beberapa sampel lain dari FlexibleFerret yang telah dikenali sebagai malware. Kampanye ‘Contagious Interview’ Menargetkan Pengembang Github Sejak November 2023, malware FlexibleFerret telah digunakan dalam kampanye Contagious Interview, yang awalnya menargetkan pencari kerja. Namun, SentinelLABS baru-baru ini menemukan bahwa para pelaku ancaman kini juga berusaha menyerang pengembang melalui Github. Salah satu metode yang digunakan adalah membuka isu palsu di repositori pengembang dan memberikan instruksi untuk mengunduh malware dalam bentuk skrip ffmpeg.sh. Kesimpulan Kampanye Contagious Interview dan keluarga malware FERRET merupakan ancaman yang masih aktif dan terus berkembang. Para pelaku ancaman secara fleksibel berpindah dari aplikasi yang ditandatangani ke versi yang tidak ditandatangani sesuai kebutuhan. Mereka menggunakan berbagai taktik untuk menyebarkan malware ke beragam target di komunitas pengembang, baik melalui serangan terarah maupun metode yang lebih luas seperti media sosial dan situs berbagi kode seperti Github. SentinelLABS terus memantau dan mengungkap aktivitas ini untuk meningkatkan kesadaran serta melindungi pengguna. Pelanggan SentinelOne telah terlindungi dari semua komponen malware yang diketahui dalam kampanye ini melalui platform Singularity. Untuk informasi lebih lanjut tentang cara SentinelOne melindungi perangkat macOS Anda, hubungi kami atau minta demo gratis.