Ancaman malware di ekosistem macOS kembali berevolusi. Peneliti keamanan menemukan varian terbaru MacSync, sebuah malware pencuri data (information stealer), yang kini mampu melewati pemeriksaan keamanan Gatekeeper, sistem proteksi utama Apple untuk mencegah aplikasi berbahaya dijalankan di Mac.
Temuan ini diungkap oleh tim riset dari Jamf, platform manajemen perangkat Apple, yang mencatat bahwa metode distribusi MacSync terbaru jauh lebih canggih dibanding versi sebelumnya. Jika dulu malware ini mengandalkan trik sederhana seperti perintah “drag-to-Terminal” atau teknik rekayasa sosial ClickFix, kini MacSync hadir dalam bentuk aplikasi Swift yang ditandatangani secara digital dan telah dinotarized oleh Apple.
Pendekatan ini membuat malware tampak sah di mata sistem operasi dan pengguna, sekaligus menghilangkan kebutuhan interaksi langsung melalui Terminal, sebuah tanda bahaya yang biasanya memicu kecurigaan.
Aplikasi Resmi yang Ternyata Berbahaya
Menurut laporan Jamf, malware tersebut dikemas dalam file disk image bernama zk-call-messenger-installer-3.9.2-lts.dmg dan didistribusikan melalui situs unduhan yang terlihat meyakinkan. Aplikasi ini memiliki tanda tangan digital yang valid dan lolos proses notarization Apple, sehingga pada saat analisis dilakukan, ia dapat dijalankan tanpa hambatan dari Gatekeeper.
Setelah meneliti file biner Mach-O yang bersifat universal, peneliti memastikan bahwa aplikasi tersebut benar-benar ditandatangani dan dinotarized, dengan Developer Team ID yang terdaftar secara sah. Namun, setelah temuan ini dilaporkan langsung ke Apple, sertifikat pengembang terkait kini telah dicabut.
Langkah Apple tersebut penting, tetapi juga menyoroti fakta bahwa mekanisme kepercayaan berbasis tanda tangan digital tidak lagi cukup untuk menjamin keamanan secara mutlak.
Dropper Terselubung dan Teknik Pengelabuan
MacSync tidak langsung memasang malware utama. Sebaliknya, ia menggunakan dropper yang mengirimkan payload dalam bentuk terenkripsi. Setelah didekode, barulah terlihat ciri khas MacSync Stealer.
Para peneliti juga menemukan sejumlah teknik penghindaran (evasion) yang dirancang untuk mengelabui sistem keamanan dan lingkungan analisis. Di antaranya adalah:
- Menggelembungkan ukuran file DMG hingga sekitar 25,5 MB dengan menyertakan PDF umpan
- Menghapus skrip yang digunakan dalam rantai eksekusi untuk menghilangkan jejak
- Melakukan pengecekan konektivitas internet sebelum dijalankan, guna mendeteksi dan menghindari lingkungan sandbox
Teknik-teknik ini menunjukkan tingkat kematangan yang semakin tinggi, sekaligus menegaskan bahwa malware macOS kini tidak lagi “kelas dua” dibandingkan ancaman di Windows.
Evolusi MacSync di Ekosistem macOS
MacSync pertama kali muncul pada April 2025 dengan nama Mac.C dan dikaitkan dengan aktor ancaman yang menggunakan alias Mentalpositive. Popularitasnya meningkat pesat pada pertengahan tahun, menempatkannya sejajar dengan infostealer macOS lain seperti AMOS dan Odyssey, segmen yang relatif lebih sempit, tetapi tetap menguntungkan bagi pelaku kejahatan siber.
Analisis sebelumnya menunjukkan bahwa MacSync mampu mencuri berbagai data sensitif, mulai dari kredensial iCloud Keychain, kata sandi browser, metadata sistem, hingga dompet kripto dan file tertentu di sistem pengguna.
Menariknya, dalam sebuah wawancara beberapa bulan lalu, sang pembuat malware mengakui bahwa kebijakan notarization Apple yang semakin ketat sejak macOS 10.14.5 justru sangat memengaruhi arah pengembangan malware-nya. Pernyataan ini kini terbukti relevan, mengingat versi terbaru MacSync justru memanfaatkan celah kepercayaan dalam proses tersebut.
Implikasi bagi Pengguna dan Keamanan macOS
Kasus ini menjadi pengingat bahwa meskipun macOS dikenal memiliki sistem keamanan berlapis, ancaman tetap dapat lolos dengan memanfaatkan mekanisme yang dirancang untuk melindungi pengguna. Aplikasi yang terlihat resmi, bertanda tangan digital, dan lolos Gatekeeper tidak selalu aman.
Bagi pengguna, kewaspadaan ekstra tetap diperlukan, terutama saat mengunduh aplikasi dari situs pihak ketiga. Sementara itu, bagi Apple dan komunitas keamanan, insiden ini menegaskan perlunya evaluasi berkelanjutan terhadap sistem kepercayaan digital agar tidak disalahgunakan oleh pelaku kejahatan siber yang semakin adaptif.