idNSA.id - Para ahli dari Trend Micro telah menemukan kampanye malware Mac yang menargetkan pengembang Xcode yang menggunakan versi malware XCSSET yang direkayasa ulang untuk mendukung chip M1 baru Apple. Varian baru ini juga mengimplementasikan fitur-fitur baru untuk pencurian data yang difokuskan pada aplikasi cryptocurrency.
XCSSET adalah malware Mac yang ditemukan oleh Trend Micro pada Agustus 2020, menyebar melalui proyek Xcode dan mengeksploitasi dua kerentanan zero-day untuk mencuri informasi sensitif dari sistem target dan meluncurkan serangan ransomware.
Menurut Trend Micro, ancaman tersebut memungkinkan pencurian data yang terkait dengan aplikasi populer, termasuk Evernote, Skype, Notes, QQ, WeChat, dan Telegram. Malware juga memungkinkan penyerang untuk melakukan screenshoot dan mengekstrak dokumen yang dicuri ke server penyerang. Malware juga menerapkan perilaku ransomware, ia mampu mengenkripsi file dan menampilkan catatan tebusan.
Malware ini juga dapat meluncurkan serangan Universal Cross Site Scripting (UXSS) dalam upaya untuk memasukkan kode JavaScript ke dalam browser saat mengunjungi situs web tertentu dan mengubah pengalaman browser pengguna. Perilaku ini memungkinkan kode berbahaya untuk mengganti alamat cryptocurrency, dan mencuri kredensial untuk layanan online (amoCRM, ID Apple, Google, Paypal, SIPMarket, dan Yandex) dan informasi kartu pembayaran dari Apple Store.
Trend Micro menemukan dua proyek Xcode yang disuntik dengan Malware Mac XCSSET, satu pada 13 Juli dan satu pada 31 Juli.
Pada Maret 2021, peneliti Kaspersky menemukan varian baru XCSSET yang dikompilasi untuk perangkat dengan chip M1.
“Saat menjelajahi berbagai modul XCSSET yang dapat dieksekusi, kami menemukan bahwa beberapa di antaranya juga berisi sampel yang dikompilasi khusus untuk chip Apple Silicon baru. Misalnya, sampel dengan hash sum MD5 914e49921c19fffd7443deee6ee161a4 berisi dua arsitektur: x86_64 dan ARM64. ” menyatakan laporan yang diterbitkan oleh Kaspersky.
"Yang pertama sesuai dengan komputer Mac berbasis Intel generasi sebelumnya, tetapi yang kedua dikompilasi untuk arsitektur ARM64, yang berarti dapat berjalan di komputer dengan chip Apple M1 yang baru."
Sampel yang dianalisis oleh Kaspersky diunggah ke VirusTotal pada 2021-02-24 21:06:05, tidak seperti sampel yang dianalisis oleh Trend Micro, varian ini berisi hash di atas atau modul bernama "metald", nama file yang dapat dieksekusi.
Peneliti Trend Micro sekarang memberikan detail tentang fitur dan muatan baru yang diimplementasikan untuk XCSSET, seperti penggunaan domain baru bernama "trendmicroano [.] Com" sebagai server C&C. Domain C&C aktif berikut ini terkait dengan alamat IP yang sama, 94 [.] 130 [.] 27 [.] 189:
Titian [.] Com
Findmymacs [.] Com
Statsmag [.] Com
Statsmag [.] Xyz
Adoberelations [.] Com
Trendmicronano [.] Com
Perubahan lain diterapkan ke modul bootstrap.applescript yang berisi logika untuk memanggil modul AppleScript berbahaya lainnya. Salah satu perubahan besar terkait dengan mesin dengan nama pengguna "apple_mac", yang merupakan mesin fisik yang menggunakan chip M1 Apple baru, dan yang digunakan untuk menguji apakah file Mach-O baru dengan arsitektur ARM dapat berfungsi dengan baik pada mesin M1.
Menurut laporan terbaru yang diterbitkan oleh Trend Micro, XCSSET terus menyalahgunakan versi pengembangan browser Safari untuk menanamkan backdoor JavaScript ke situs web melalui serangan Universal Cross-site Scripting (UXSS).
“Seperti yang disebutkan dalam ringkasan teknis pertama kami, malware ini memanfaatkan versi pengembangan Safari untuk memuat kerangka kerja Safari berbahaya dan pintu belakang JavaScript terkait dari server C&C-nya. Itu menjadi tuan rumah paket pembaruan Safari di server C&C, kemudian mengunduh dan menginstal paket untuk versi OS pengguna. Untuk beradaptasi dengan Big Sur yang baru dirilis, paket baru untuk "Safari 14" telah ditambahkan. " membaca laporan yang diterbitkan oleh Trend Micro.“ Seperti yang telah kami amati di safari_remote.applescript, ia mengunduh paket Safari yang sesuai dengan browser dan versi OS pengguna saat ini.”
Analisis kode JavaScript terbaru dari agent.php yang dilakukan oleh peneliti mengungkapkan bahwa malware tersebut mampu mencuri data rahasia dari situs-situs berikut:
163.com
Huobi
binance.com
nncall.net
Envato
login.live.com
Dalam kasus platform perdagangan cryptocurrency Huobi, malware dapat mencuri informasi akun dan mengganti alamat di dompet cryptocurrency pengguna, fitur terakhir tidak ada di versi malware sebelumnya.
Laporan yang diterbitkan oleh Trend Micro juga menyertakan Indikator Kompromi (IoCs).
