Cyberthreat.id–Sebuah malware terdeteksi dipakai untuk menargetkan pengembang macOS. Malware ini memiliki kemampuan mencuri informasi login dari sejumlah aplikasi sehingga memungkinkan operator perangkat lunak jahat itu membajak akun online yang ditargetkan.

Perusahaan keamanan siber asal Jepang, Trend Micro, menjuluki alat jahat itu dengan sebutan “XCSSET”. Malware ini ditengarai selama lebih dari setahun menginfeksi proyek Xcode lokal.

Trend Micro mengatakan XCSSET saat ini berkembang dan beradaptasi terus-menerus dan menargetkan versi macOS terbaru (saat ini Big Sur); seperti teknik sebelumnya, malware ini, memanfaatkan kerentanan zero-day (belum ditambal dan diketahui oleh pengembang).

XCSSET mampu mengumpulkan dari file-file komputer terinfeksi yang berisi informasi sensitif milik aplikasi tertentu dan mengirimkannya ke server perintah dan kontrol (C2) milik operator malware.

Salah satu aplikasi yang ditargetkan adalah perangkat lunak perpesanan instan Telegram. Malware membuat arsip “telegram.applescript” untuk folder “keepcoder.Telegram” di direktori “Group Containers”.

Mengumpulkan folder Telegram memungkinkan peretas untuk masuk ke aplikasi perpesanan sebagai pemilik sah akun tersebut.

Trend Micro menjelaskan XCSSET dapat mencuri data sensitif dengan cara ini karena pengguna umumnya dapat mengakses direktori Application sandbox dengan izin baca dan tulis.

“Tidak semua file yang dapat dieksekusi (executable) masuk ke sandbox di macOS. Ini berarti skrip sederhana dapat mencuri semua data yang disimpan di direktori sandbox,” ujar  Trend Micro dikutip dari BleepingComputer diakses Minggu (25 Juli 2021).

Para peneliti juga menganalisis metode yang digunakan untuk mencuri kata sandi yang disimpan di Google Chrome—sebuah teknik yang membutuhkan interaksi pengguna dan terdeteksi sejak 2016.

Taktik ini, kata Trend Micro, peretas perlu mendapatkan “Safe Storage Key” yang disimpan pengguna di "Chrome Safe Storage”.

Peretas menggunakan dialog palsu untuk mengelabui pengguna agar memberikan “hak istimewa administrator” demi mendapatkan “Safe Storage Key” yang dapat mendekripsi sandi yang disimpan di Chrome.

Setelah didekripsi, semua data dikirim ke server perintah dan kontrol penyerang. Skrip serupa yang ada di XCSSET dipakai untuk mencuri data sensitif dari aplikasi lain: Contact, Evernote, Notes, Opera, Skype, WeChat.[]