Cyberthreat.id - Peneliti Trend Micro menemukan varian Malware baru yang dirancang untuk mencuri informasi dan menyerang MacOS. Malware yang disebut  XCSSET ini menyebar melalui proyek Xcode. Xcode adalah IDE (Integrated Development Environtment) pengembangan berbagai produk Apple. Mulai dari iOS, OS X, watchOS, dan tvOS.

Menurut peneliti, operator malware ini mencuri informasi sensitif dan bisa meluncurkan serangan ransomware. Secara khusus, malware ini dapat membantu hacker mendapatkan informasi yang terkait dengan aplikasi Evernote, Skype, Notes, QQ, WeChat, dan Telegram, menangkap tangkapan layar, dan mengunggah file ke server penyerang.

XCSSET juga dapat mengenkripsi file dan menampilkan catatan tebusan serta meluncurkan serangan Universal Cross-Site Scripting  (UXSS) untuk menyuntikkan kode JavaScript ke situs web yang dikunjungi korban. Hal ini dilakukan untuk memodifikasi situs web, termasuk mengganti alamat cryptocurrency, mencuri kredensial untuk layanan online, dan informasi kartu pembayaran dari Apple Store.

Salah satu aspek yang membuat XCSSET menarik adalah Malware ini menyebar melalui proyek Xcode yang merupakan lingkungan pengembangan terintegrasi Apple untuk macOS. Penyerang menyuntikkan kode berbahaya ke dalam proyek Xcode dan kode tersebut dieksekusi saat proyek dibuat.

Trend Micro menemukan dua proyek Xcode yang disuntik dengan malware pada 13 Juli dan pada 31 Juli. Meskipun proyek khusus ini kemungkinannya kecil untuk diintegrasikan oleh developer lain ke dalam proyek mereka sendiri, Trend Micro memperingatkan bahwa metode distribusi dapat menjadi sangat efektif jika proyek yang lebih populer diretas.

"Kami juga telah mengidentifikasi ancaman ini dari sumber-sumber seperti VirusTotal yang mengindikasikan ancaman ini secara luas," tulis Trend Micro dilansir Security Week, Jumat (14 Agustus 2020).

Developer yang terpengaruh tanpa disadari akan mendistribusikan trojan berbahaya kepada pengguna dalam bentuk proyek Xcode yang disusupi, dan metode untuk memverifikasi file terdistribusi (seperti memeriksa hash). Analisis server C&C yang digunakan oleh XCSSET mengungkapkan daftar 380 alamat IP korban, termasuk 152 di China dan 103 di India.

XCSSET juga mengeksploitasi dua kerentanan zero-day. Salah satunya terkait dengan Data Vaults, yang dirancang untuk melindungi dari akses tidak sah ke data. Malware memanfaatkan kerentanan ini untuk mencuri file cookie Safari, yang menyimpan informasi terkait situs web yang dikunjungi.

Kerentanan zero-day kedua yang dieksploitasi XCSSET memungkinkan penyerang menjalankan versi pengembangan Safari saat korban membuka browser web. Versi pengembangan tidak di sandbox, memungkinkan penyerang memasukkan kode JavaScript berbahaya yang dapat berjalan tanpa batasan dan kode berbahaya disuntikkan melalui serangan UXSS.

Trend Micro telah melaporkan temuannya ke Apple, dan saat ini perusahaan sedang mengerjakan perubahan pada versi macOS terbaru yang dapat mengurangi kerentanan terkait Data Vault. []

Redaktur: Arif Rahman