Malware tertangkap menggunakan zero-day macOS untuk mengambil tangkapan layar secara diam-diam – TechCrunch


Hampir tepat sebulan yang lalu, peneliti mengungkapkan keluarga malware terkenal mengeksploitasi kerentanan yang belum pernah terlihat sebelumnya yang memungkinkannya menerobos pertahanan keamanan macOS dan berjalan tanpa hambatan. Sekarang, beberapa peneliti yang sama mengatakan malware lain dapat menyelinap ke sistem macOS, berkat kerentanan lain.

Jamf mengatakan menemukan bukti bahwa malware XCSSET mengeksploitasi kerentanan yang memungkinkannya mengakses bagian macOS yang memerlukan izin – seperti mengakses mikrofon, webcam, atau merekam layar – tanpa pernah mendapatkan persetujuan.

XCSSET tadinya pertama kali ditemukan oleh Trend Micro pada tahun 2020 menargetkan pengembang Apple, khususnya proyek Xcode yang mereka gunakan untuk membuat kode dan membuat aplikasi. Dengan menginfeksi proyek pengembangan aplikasi tersebut, pengembang tanpa disadari mendistribusikan malware ke pengguna mereka, yang digambarkan oleh para peneliti Trend Micro sebagai “serangan seperti rantai pasokan”. Malware ini terus dikembangkan, dengan varian malware yang lebih baru juga menargetkan Mac yang sedang berjalan chip M1 yang lebih baru.

Setelah malware berjalan di komputer korban, ia menggunakan dua hari nol – satu untuk mencuri cookie dari browser Safari untuk mendapatkan akses ke akun online korban, dan yang lainnya untuk diam-diam menginstal versi pengembangan Safari, memungkinkan penyerang untuk memodifikasi dan mengintip hampir semua situs web.

Tetapi Jamf mengatakan malware itu mengeksploitasi hari ketiga nol yang sebelumnya belum ditemukan untuk diam-diam mengambil tangkapan layar dari layar korban.

macOS seharusnya meminta izin pengguna sebelum mengizinkan aplikasi apa pun – berbahaya atau lainnya – untuk merekam layar, mengakses mikrofon atau webcam, atau membuka penyimpanan pengguna. Tetapi malware melewati permintaan izin itu dengan menyelinap di bawah radar dengan menyuntikkan kode berbahaya ke aplikasi yang sah.

Peneliti Jamf Jaron Bradley, Ferdous Saljooki, dan Stuart Ashenbrenner menjelaskan dalam sebuah posting blog, dibagikan dengan TechCrunch, bahwa malware mencari aplikasi lain di komputer korban yang sering diberikan izin berbagi layar, seperti Zoom, WhatsApp, dan Slack, dan menyuntikkan kode perekaman layar berbahaya ke dalam aplikasi tersebut. Ini memungkinkan kode berbahaya untuk “mendukung” aplikasi yang sah dan mewarisi izinnya di seluruh macOS. Kemudian, malware menandatangani app bundle baru dengan sertifikat baru agar tidak ditandai oleh pertahanan keamanan bawaan macOS.

Para peneliti mengatakan bahwa malware menggunakan izin permintaan bypass “khusus untuk tujuan mengambil screenshot dari desktop pengguna,” tetapi memperingatkan bahwa itu tidak terbatas pada perekaman layar. Dengan kata lain, bug tersebut dapat digunakan untuk mengakses mikrofon korban, webcam, atau merekam penekanan tombol mereka, seperti sandi atau nomor kartu kredit.

Tidak jelas berapa banyak Mac yang dapat diinfeksi oleh malware menggunakan teknik ini. Tetapi Apple mengonfirmasi kepada TechCrunch bahwa itu memperbaiki bug di macOS 11.4, yang tersedia sebagai pembaruan hari ini.



Sumber

Related Articles

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Stay Connected

21,989FansLike
0FollowersFollow
0SubscribersSubscribe
- Advertisement -

Latest Articles