Malware Mac “XCSSET” yang ditemukan beberapa bulan lalu tampaknya mengandalkan lebih banyak eksploitasi 0 hari daripada yang diketahui sebelumnya: malware juga mengeksploitasi kerentanan dalam sistem “Transparency Consent and Control” (TCC). Dari Apple untuk mengambil screenshot secara diam-diam – oleh malware yang mendaftar di direktori perangkat lunak yang telah diberi izin yang sesuai oleh pengguna untuk merekam konten layar.
Dukung-dukungan untuk izin tangkapan layar
Modul malware berbasis AppleScript memindai program yang diinstal di Mac yang memiliki izin perekaman layar – ini termasuk tangkapan layar serta rekaman layar. Jika menemukannya, malware membuat aplikasi AppleScript baru dan memasukkannya ke direktori aplikasi yang sah, seperti yang dijelaskan Jamf – misalnya alat konferensi video seperti Zoom. Aplikasi AppleScript juga ditandatangani dengan sertifikat ad hoc
Apple mengisi kekosongan dengan versi macOS 11.4 Big Sur yang dirilis pada Selasa malam. Malware dapat melewati pengaturan perlindungan data, produsen menjelaskan tentang CVE-2021-30713, dan beberapa laporan menunjukkan bahwa kerentanan sedang dieksploitasi secara aktif. Tidak ada tambalan untuk versi sistem operasi yang lebih lama, fitur perlindungan data yang sesuai untuk tangkapan layar dan tangkapan layar hanya tersedia sejak macOS 10.15 Catalina.
Malware terintegrasi ke dalam proyek Xcode
XCSSET tampaknya terutama ditujukan untuk pengembang yang bekerja dengan lingkungan pengembangan Xcode Apple. Kode berbahaya “disuntikkan” ke dalam proyek Xcode lokal di Mac dan dijalankan segera setelah perangkat lunak dikompilasi. Malware dapat menyebar lebih jauh melalui proyek Xcode yang terinfeksi, yang tersedia melalui Github, misalnya, katanya Agustus lalu. Pengembang harus memeriksa integritas proyek mereka untuk menghindari infeksi.
(lbe)
“Organizer. Devoted music enthusiast. Pop culture pioneer. Coffee practitioner.”
