Proyek Xcode sedang dieksploitasi untuk menyebarkan varian malware Mac yang berspesialisasi dalam penyusupan Safari dan peramban lainnya. Malware ini merupakan varian XCSSET dan ditemukan dalam proyek Xcode, kata Trend Micro.
Xcode adalah integrated development environment (IDE) gratis yang digunakan di macOS untuk mengembangkan perangkat lunak dan aplikasi terkait Apple.
Meskipun belum jelas bagaimana XCSSET masuk ke dalam proyek Xcode, Trend Micro mengatakan bahwa setelah disematkan, malware kemudian berjalan saat sebuah proyek dibuat.
“Proyek Xcode ini telah dimodifikasi sedemikian rupa sehingga setelah dibangun, proyek akan menjalankan kode berbahaya. Hal ini pada akhirnya menyebabkan malware XCSSET utama diluncurkan pada sistem yang terpengaruh,” kata tim di Trend Micro.
Sejumlah pengembang yang terkena dampak telah membagikan proyek mereka di GitHub, yang menurut para peneliti dapat mengakibatkan “serangan (seperti) rantai pasokan bagi pengguna yang mengandalkan repositori ini sebagai ketergantungan dalam proyek mereka sendiri.”
Setelah berada pada sistem yang terpengaruh, XCSSET menggunakan browser termasuk versi pengembangan dari Safari, dan mengeksploitasi kerentanan untuk mencuri data pengguna.
Dalam kasus Safari, yang pertama dari dua kerentanan adalah celah keamanan di Data Vault. Ditemukan metode bypass yang menghindari perlindungan macOS untuk file cookie Safari melalui SSHD.
Lalu kerentanan kedua yaitu dari bagaimana Safari WebKit beroperasi. Biasanya, meluncurkan kit memerlukan pengguna untuk mengirimkan kata sandi mereka, tetapi ditemukan metode bypass yang dapat digunakan untuk melakukan operasi berbahaya melalui Safari yang tidak di-sandboxed. Juga mungkin untuk melakukan pembajakan Dylib.
Baca Juga: “Bug Dalam Safari Ini Memungkinkan Penyerang Untuk Membajak Kamera iPhone Maupun Macbook“
Masalah keamanan tersebut memungkinkan cookie Safari dibaca dan dicuri, dan paket data ini kemudian bisa digunakan untuk memasukkan backdoor berbasis JavaScript ke halaman yang ditampilkan melalui serangan Universal Cross-site Scripting (UXSS).
Trend Micro yakin elemen UXSS dari rantai serangan dapat digunakan tidak hanya untuk mencuri informasi pengguna secara umum, tetapi juga sebagai sarana modifikasi sesi browser untuk menampilkan situs web berbahaya, mengubah alamat wallet kripto, mengambil informasi kartu kredit Apple Store, dan mencuri informasi akun login dari sumber termasuk ID Apple, Google, Paypal, dan Yandex.
Malware Mac tersebut juga mampu mencuri berbagai data pengguna lainnya, termasuk konten Evernote, informasi Notes, dan komunikasi dari aplikasi Skype, Telegram, QQ, juga WeChat.
Selain itu, XCSSET dapat mengambil screenshot, mengekstrak data, mengirim file yang dicuri ke server command-and-control (C2), dan juga berisi modul ransomware untuk enkripsi file dan pesan permintaan tebusan.
“Pengembang yang terpengaruh akan tanpa sadar mendistribusikan Trojan berbahaya kepada pengguna mereka dalam bentuk proyek Xcode yang disusupi, dan metode untuk memverifikasi file yang didistribusikan (seperti pemeriksaan hash) tidak akan membantu karena pengembang tidak akan menyadari bahwa mereka mendistribusikan file berbahaya,” kata Trend Micro.
