Menurut Cryptopolitan pada 11 Mei, tim Riset Keamanan Microsoft Defender merilis hasil investigasi yang menemukan bahwa penyerang sejak akhir 2025 telah memublikasikan panduan pemecahan masalah macOS palsu di platform seperti Medium dan Craft. Panduan tersebut mendorong pengguna untuk menjalankan perintah berbahaya di Terminal, sehingga menginstal malware yang mencuri kunci dompet kripto, data iCloud, serta kata sandi yang tersimpan di browser.
Mekanisme Serangan: ClickFix Mengakali Gatekeeper macOS
Berdasarkan laporan tim Riset Keamanan Microsoft Defender, penyerang menggunakan teknik rekayasa sosial bernama ClickFix: memublikasikan panduan pemecahan masalah macOS yang disamarkan sebagai rilis ruang disk atau perbaikan kesalahan sistem di platform seperti Medium, Craft, dan Squarespace. Panduan itu mengarahkan pengguna untuk menyalin perintah berbahaya dan menempelkannya ke macOS Terminal; setelah perintah dijalankan, malware akan otomatis diunduh dan dijalankan.
Menurut laporan Microsoft, metode ini mengakali mekanisme keamanan Gatekeeper macOS, karena Gatekeeper memverifikasi tanda kode dan validasi notaris untuk aplikasi yang dijalankan melalui Finder, tetapi cara pengguna menjalankan perintah langsung di Terminal tidak terikat pada langkah verifikasi tersebut. Peneliti juga menemukan bahwa penyerang menggunakan curl, osascript, dan alat bawaan macOS lainnya untuk mengeksekusi kode berbahaya langsung di memori (serangan tanpa file), sehingga alat antivirus standar sulit mendeteksi.
Keluarga Malware, Cakupan Pencurian, dan Mekanisme Khusus
Menurut laporan Microsoft, aktivitas serangan ini melibatkan tiga keluarga malware (AMOS, Macsync, SHub Stealer) dan tiga jenis program penginstal (Loader, Script, Helper). Data target yang dicuri meliputi:
Kunci dompet kripto: Exodus, Ledger, Trezor
Kredensial akun: iCloud, Telegram
Kata sandi tersimpan browser: Chrome, Firefox
Dokumen dan foto pribadi: file lokal berukuran kurang dari 2 MB
Setelah malware diinstal, ia akan menampilkan kotak dialog palsu yang meminta pengguna memasukkan sandi sistem untuk menginstal “alat bantu”. Jika pengguna memasukkan sandi, penyerang dapat memperoleh akses penuh ke dokumen lengkap serta konfigurasi sistem. Laporan Microsoft juga menyebutkan bahwa pada beberapa kasus, penyerang menghapus aplikasi legal Trezor Suite, Ledger Wallet, dan Exodus, lalu menggantinya dengan versi yang menyisipkan trojan untuk memantau transaksi dan mencuri dana. Selain itu, program yang dimuat oleh malware berisi sakelar terminasi: bila mendeteksi tata letak keyboard berbahasa Rusia, malware akan otomatis berhenti menjalankan eksekusi.
Aktivitas Serangan Terkait dan Langkah Proteksi Apple
Berdasarkan investigasi peneliti keamanan ANY.RUN, Lazarus Group telah melancarkan operasi peretasan bernama “Mach-O Man”, yang menggunakan teknik serupa dengan ClickFix. Serangan itu menargetkan perusahaan fintech dan kripto dengan sistem operasi utama macOS melalui pemalsuan undangan rapat.
Cryptopolitan juga melaporkan bahwa kelompok peretas Korea Utara Famous Chollima menggunakan kode yang dihasilkan AI untuk menyisipkan paket npm berbahaya ke proyek transaksi kripto. Malware tersebut menggunakan arsitektur pengaburan berlapis dua, mencuri data dompet serta informasi rahasia sistem.
Menurut laporan, Apple telah menambahkan mekanisme proteksi pada versi macOS 26.4 yang dapat mencegah perintah yang ditandai sebagai berpotensi berbahaya ditempelkan ke terminal macOS.
Pertanyaan yang Sering Diajukan
Sejak kapan aktivitas serangan ClickFix macOS yang diungkap Microsoft Defender dimulai, dan dipublikasikan di platform apa?
Berdasarkan laporan tim Riset Keamanan Microsoft Defender dan Cryptopolitan pada 11 Mei 2026, aktivitas serangan mulai aktif sejak akhir 2025. Penyerang memublikasikan panduan pemecahan masalah macOS palsu di platform seperti Medium, Craft, dan Squarespace untuk mendorong pengguna Mac menjalankan perintah Terminal berbahaya.
Aktivitas serangan ini menargetkan dompet kripto dan jenis data apa?
Berdasarkan laporan Microsoft Defender, malware yang terlibat (AMOS, Macsync, SHub Stealer) dapat mencuri kunci dompet kripto Exodus, Ledger, dan Trezor, data akun iCloud dan Telegram, serta nama pengguna dan kata sandi yang tersimpan di Chrome dan Firefox.
Tindakan proteksi apa yang diterapkan Apple untuk jenis serangan ini?
Berdasarkan laporan, Apple menambahkan mekanisme proteksi di versi macOS 26.4 yang memblokir penempelan perintah yang ditandai sebagai berpotensi berbahaya ke Terminal macOS, untuk menurunkan tingkat keberhasilan serangan rekayasa sosial tipe ClickFix.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
