Malware XCSSET yang terkenal menargetkan sistem operasi macOS telah mendapat pembaruan sekali lagi untuk menambahkan lebih banyak fitur ke perangkatnya.
Yang memungkinkannya mengumpulkan dan mengekstrak data sensitif yang tersimpan di berbagai aplikasi. Termasuk aplikasi seperti Google Chrome dan Telegram, sebagai bagian dari ” penyempurnaan dalam taktiknya.”
XCSSET muncul pada Agustus 2020, saat itu menargetkan pengembang Mac menggunakan cara distribusi yang tidak biasa. Dan melibatkan penyuntikan muatan berbahaya ke dalam proyek IDE Xcode yang berjalan pada saat membuat file proyek di Xcode.
Malware ini hadir dengan berbagai kemampuan, seperti membaca dan membuang cookie Safari, menyuntikkan kode JavaScript berbahaya ke berbagai situs web. Mencuri informasi dari aplikasi, seperti Notes, WeChat, Skype, Telegram, dan mengenkripsi file pengguna.
Awal April ini, XCSSET menerima pemutakhiran yang memungkinkan pembuat malware untuk menargetkan macOS 11 Big Sur serta Mac yang berjalan pada chipset M1. Dengan menghindari kebijakan keamanan baru yang dilembagakan oleh Apple dalam sistem operasi terbaru.
Peneliti Trend Micro sebelumnya mencatat bahwa:
Malware mengunduh alat terbukanya sendiri dari server C2 yang telah memiliki tandatangan sebelumnya dengan tanda tangan ad-hoc.
Sedangkan jika berada di macOS versi 10.15 dan lebih rendah. Itu masih akan menggunakan perintah buka bawaan sistem untuk menjalankan aplikasi.
MacOS Malware XCSSET menargetkan perangkat lunak Telegram
Sekarang menurut tulisan baru yang diterbitkan perusahaan keamanan siber pada hari Kamis, telah ditemukan bahwa XCSSET menjalankan file AppleScript berbahaya untuk mengompresi folder yang berisi data Telegram (“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram” ) ke dalam file arsip ZIP.
Dan kemudian akan mengunggahnya ke server jauh di bawah kendali mereka, sehingga memungkinkan pelaku ancaman untuk masuk menggunakan akun korban.
Dengan Google Chrome, malware mencoba mencuri kata sandi yang tersimpan di browser web. Yang pada gilirannya terenkripsi menggunakan kata sandi utama yang bernama “kunci penyimpanan aman”. Dengan menipu pengguna agar memberikan hak akses root melalui kotak dialog palsu.
Menyalahgunakan izin untuk menjalankan perintah shell yang tidak sah untuk mengambil kunci master dari Rantai Kunci iCloud. Setelah itu isinya terdekripsi dan dikirimkan ke server.
Selain Chrome dan Telegram, XCSSET juga memiliki kapasitas untuk menjarah informasi berharga dari berbagai aplikasi seperti Evernote, Opera, Skype, WeChat. Dan aplikasi Kontak dan Catatan Apple sendiri dengan mengambil data tersebut dari direktori kotak pasir masing-masing.
“Penemuan bagaimana ia dapat mencuri informasi dari berbagai aplikasi menyoroti sejauh mana malware secara agresif mencoba mencuri berbagai jenis informasi dari sistem yang terpengaruh,” kata para peneliti.
