Waspada! Modus Baru Serang Pengguna macOS

Waspada! Modus Baru Serang Pengguna macOS – Selama bertahun-tahun, pengguna macOS sering dianggap memiliki tingkat keamanan yang lebih baik dibandingkan sistem operasi lainnya.

Anggapan tersebut tidak sepenuhnya keliru, mengingat Apple memang menerapkan berbagai lapisan perlindungan, mulai dari Gatekeeper, XProtect, System Integrity Protection (SIP), hingga mekanisme sandbox yang dirancang untuk membatasi aktivitas aplikasi.

Namun, meningkatnya popularitas perangkat Mac di kalangan profesional, pelaku bisnis, kreator konten, hingga pengembang perangkat lunak telah menjadikan platform ini sebagai target yang semakin menarik bagi pelaku kejahatan siber.

Tren tersebut tercermin dari semakin banyaknya malware yang secara khusus dikembangkan untuk menyerang macOS. Jika sebelumnya sebagian besar ancaman terhadap pengguna Mac masih bersifat oportunistik.

Kini serangan berkembang menjadi lebih terarah dengan memanfaatkan teknik social engineering yang dirancang untuk mengecoh korban agar secara sukarela menjalankan perintah yang sebenarnya berbahaya.

Beberapa faktor yang membuat pengguna macOS semakin menjadi sasaran antara lain:

• Meningkatnya jumlah pengguna perangkat Mac di lingkungan bisnis.
• Banyaknya data sensitif yang tersimpan pada perangkat Mac.
• Tingginya penggunaan layanan perbankan digital dan dompet aset kripto.
• Masih adanya anggapan bahwa macOS kebal terhadap malware sehingga pengguna cenderung lengah.

Salah satu teknik yang saat ini menjadi perhatian para peneliti adalah ClickFix, sebuah metode rekayasa sosial yang dalam beberapa bulan terakhir semakin banyak digunakan untuk menyebarkan berbagai jenis malware, termasuk malware pencuri informasi (infostealer).

Teknik ini memanfaatkan rasa percaya pengguna terhadap halaman web maupun pesan verifikasi yang tampak meyakinkan sehingga korban tanpa sadar justru membantu proses infeksi pada perangkatnya sendiri.

Menjalankan Malware dengan Tangannya Sendiri

Berbeda dengan metode serangan tradisional yang mengeksploitasi kerentanan perangkat lunak secara langsung, ClickFix lebih mengandalkan manipulasi psikologis pengguna.

Pelaku membuat halaman web yang menampilkan CAPTCHA palsu, pesan kesalahan browser, maupun notifikasi sistem yang seolah-olah berasal dari layanan resmi.

Korban kemudian diminta mengikuti langkah-langkah tertentu untuk “memperbaiki” masalah yang sebenarnya tidak pernah ada.

Salah satu instruksi yang paling sering digunakan adalah meminta pengguna membuka aplikasi Terminal, kemudian menyalin dan menjalankan sebuah perintah yang telah disediakan.

• Modus operandi ClickFix umumnya berlangsung melalui tahapan berikut:
• Korban mengunjungi situs web yang telah dipersiapkan pelaku.
• Situs menampilkan CAPTCHA, peringatan browser, atau notifikasi sistem palsu.
• Pengguna diminta membuka aplikasi Terminal.
• Pengguna diminta menyalin (copy) dan menjalankan (paste) sebuah perintah.
• Perintah tersebut secara diam-diam mengunduh malware ke dalam perangkat.
• Malware dipasang menggunakan utilitas bawaan macOS.
• Perangkat berhasil dikompromikan tanpa disadari oleh korban.

Bagi sebagian pengguna, terutama mereka yang tidak memiliki latar belakang teknis, langkah tersebut terlihat wajar.

Bahkan, banyak yang menganggap perintah tersebut merupakan bagian dari proses verifikasi keamanan atau pemecahan masalah. Padahal, begitu perintah dijalankan, korban secara tidak sadar telah memberikan jalan bagi malware untuk masuk ke dalam perangkat.

Menurut para peneliti, teknik ClickFix mengalami peningkatan penggunaan yang sangat signifikan sepanjang tahun 2025 hingga 2026.

Metode ini tidak hanya dimanfaatkan oleh kelompok kriminal siber, tetapi juga mulai diadopsi dalam berbagai operasi spionase digital karena dinilai memiliki tingkat keberhasilan yang tinggi dan relatif sulit dideteksi oleh solusi keamanan tradisional.

Operasi Baru Incar Pengguna macOS

Dalam kampanye terbaru yang berhasil diidentifikasi, pelaku menggunakan halaman CAPTCHA palsu sebagai umpan utama. Setelah korban mengunjungi situs yang telah dipersiapkan, muncul instruksi yang meminta pengguna membuka aplikasi Terminal untuk melakukan proses verifikasi.

Apabila instruksi tersebut diikuti, sebuah perintah akan dijalankan secara otomatis untuk mengunduh file berbahaya dari server yang dikendalikan pelaku. Menariknya, proses ini berlangsung secara diam-diam tanpa menampilkan indikasi yang mencurigakan di layar pengguna.

Perintah tersebut memanfaatkan utilitas bawaan macOS untuk mengunduh, memasang (mount), dan menjalankan file berbentuk Disk Image (DMG) secara otomatis. Seluruh proses dilakukan menggunakan komponen resmi sistem operasi sehingga aktivitasnya tampak seperti proses normal yang dilakukan oleh pengguna.

Dalam kampanye ini, pelaku memanfaatkan beberapa komponen bawaan macOS, di antaranya:

1. Terminal untuk menjalankan perintah yang diberikan kepada korban.
2. curl untuk mengunduh file dari server pelaku.
3. hdiutil untuk memasang (mount) file DMG secara tersembunyi.
4. open untuk menjalankan aplikasi yang terdapat di dalam file DMG.

Teknik ini menunjukkan bagaimana pelaku kini semakin memanfaatkan fitur-fitur bawaan sistem operasi untuk menyamarkan aktivitas mereka.

Daripada mengeksploitasi kerentanan teknis, mereka lebih memilih memanfaatkan kepercayaan pengguna dan fungsi-fungsi resmi yang telah tersedia di dalam sistem.

Evolusi Modus Operandi

Sebelumnya, sebagian besar kampanye malware yang menargetkan pengguna macOS masih mengandalkan metode sederhana, yaitu meminta korban mengunduh file DMG secara manual, kemudian membuka aplikasi berbahaya yang terdapat di dalamnya.

Kini pendekatan tersebut mengalami evolusi. Melalui ClickFix, hampir seluruh proses berlangsung secara otomatis setelah korban menjalankan satu perintah di Terminal.

File berbahaya diunduh tanpa banyak interaksi tambahan, dipasang secara tersembunyi, lalu aplikasi yang mengandung malware dijalankan secara otomatis.

Pendekatan baru ini membuat proses infeksi menjadi jauh lebih cepat sekaligus mengurangi peluang korban menyadari bahwa perangkatnya sedang dikompromikan.

Dari sudut pandang pelaku, metode ini juga meningkatkan peluang keberhasilan karena memanfaatkan fitur resmi macOS yang memang dirancang untuk menjalankan berbagai proses administrasi sistem.

Sumber berita:

WeLiveSecurity