Hampir tepat sebulan yang lalu, para peneliti mengungkapkan keluarga malware terkenal mengeksploitasi kerentanan yang belum pernah terlihat sebelumnya yang memungkinkannya melewati pertahanan keamanan macOS dan berjalan tanpa hambatan. Sekarang, beberapa peneliti yang sama mengatakan malware lain dapat menyusup ke sistem macOS, berkat kerentanan lain.
Jamf mengatakan menemukan bukti bahwa malware XCSSET mengeksploitasi kerentanan yang memungkinkannya mengakses bagian macOS yang memerlukan izin — seperti mengakses mikrofon, webcam, atau merekam layar — tanpa pernah mendapatkan persetujuan.
XCSSET pertama kali ditemukan oleh Trend Micro pada tahun 2020 yang menargetkan pengembang Apple, khususnya proyek Xcode yang mereka gunakan untuk membuat kode dan membuat aplikasi. Dengan menginfeksi proyek pengembangan aplikasi tersebut, pengembang tanpa disadari mendistribusikan malware ke pengguna mereka, yang digambarkan oleh para peneliti Trend Micro sebagai “serangan seperti rantai pasokan”. Malware sedang dalam pengembangan lanjutan, dengan varian yang lebih baru juga menargetkan Mac yang menjalankan chip M1 yang lebih baru.
Setelah malware berjalan di komputer korban, ia menggunakan dua zero-days — satu untuk mencuri cookie dari browser Safari untuk mendapatkan akses ke akun online korban, dan satu lagi untuk diam-diam menginstal versi pengembangan Safari, yang memungkinkan penyerang untuk memodifikasi dan mengintai di hampir semua situs web.
Tapi Jamf mengatakan malware itu mengeksploitasi zero-day ketiga yang sebelumnya belum ditemukan untuk diam-diam mengambil screenshot dari layar korban.
macOS seharusnya meminta izin kepada pengguna sebelum mengizinkan aplikasi apa pun — jahat atau lainnya — untuk merekam layar, mengakses mikrofon atau webcam, atau membuka penyimpanan pengguna. Tetapi malware melewati permintaan izin itu dengan menyelinap di bawah radar dengan menyuntikkan kode berbahaya ke aplikasi yang sah.
Peneliti Jamf Jaron Bradley, Ferdous Saljooki, dan Stuart Ashenbrenner menjelaskan dalam posting blog, dibagikan dengan TechCrunch, bahwa malware mencari aplikasi lain di komputer korban yang sering diberikan izin berbagi layar, seperti Zoom, WhatsApp dan Slack, dan menyuntikkan kode perekaman layar berbahaya ke dalam aplikasi tersebut. Hal ini memungkinkan kode berbahaya untuk “membonceng” aplikasi yang sah dan mewarisi izinnya di seluruh macOS. Kemudian, malware menandatangani bundel aplikasi baru dengan sertifikat baru untuk menghindari penandaan oleh pertahanan keamanan bawaan macOS.
Para peneliti mengatakan bahwa malware menggunakan bypass permintaan izin “khusus untuk tujuan mengambil tangkapan layar dari desktop pengguna,” tetapi memperingatkan bahwa itu tidak terbatas pada perekaman layar. Dengan kata lain, bug tersebut dapat digunakan untuk mengakses mikrofon, webcam korban, atau menangkap penekanan tombol, seperti kata sandi atau nomor kartu kredit.
Tidak jelas berapa banyak Mac yang dapat diinfeksi malware menggunakan teknik ini. Tetapi Apple mengonfirmasi kepada TechCrunch bahwa bug telah diperbaiki di macOS 11.4, yang tersedia sebagai pembaruan hari ini.
