Microsoft buka data, peretas gunakan malware macOS canggih

cover

Microsoft Threat Intelligence telah mengungkap varian baru XCSSET, malware macOS modular canggih yang menargetkan pengguna dengan menginfeksi proyek Xcode. 

"Meskipun saat ini kami hanya melihat varian XCSSET baru ini dalam serangan terbatas, kami membagikan informasi ini agar pengguna dan organisasi dapat melindungi diri dari ancaman ini," tulis Microsoft Threat Intelligence dalam laporanya, dikutip topik.id dari laman resminya, Rabu (19/2/2025).

Selain itu, varian pertama yang diketahui sejak 2022, malware XCSSET terbaru ini memiliki metode pengaburan yang ditingkatkan, mekanisme persistensi yang diperbarui, dan strategi infeksi baru. 

Fitur-fitur yang ditingkatkan ini melengkapi kemampuan keluarga malware ini yang sudah diketahui sebelumnya, seperti menargetkan dompet digital, mengumpulkan data dari aplikasi Notes, dan mencuri informasi dan file sistem.

Metode pengaburan yang disempurnakan, Varian XCSSET yang baru menggunakan pendekatan yang jauh lebih acak untuk menghasilkan muatan guna menginfeksi proyek Xcode. 

Baik teknik pengodean maupun jumlah iterasi pengodean diacak. Selain itu, sementara varian XCSSET yang lama hanya menggunakan xxd ( hexdump) untuk pengodean, varian terbaru juga menyertakan Base64. Pada tingkat kodenya, nama modul varian juga dikaburkan, sehingga lebih sulit untuk menentukan maksud modul.

Microsoft Threat Intelligence has uncovered a new variant of XCSSET, a sophisticated modular macOS malware that targets users by infecting Xcode projects, in the wild. While we’re only seeing this new XCSSET variant in limited attacks at this time, we’re sharing this information… pic.twitter.com/oWfsIKxBzB

— Microsoft Threat Intelligence (@MsftSecIntel) February 17, 2025

"Mekanisme persistensi yang diperbarui: Varian XCSSET yang baru menggunakan dua teknik berbeda: metode “zshrc” dan metode “dock”. Dalam metode zshrc, malware membuat file bernama ~/ .zshrc_aliases, yang berisi payload. Kemudian, malware menambahkan perintah dalam file ~/.zshrc untuk memastikan bahwa file yang dibuat diluncurkan setiap kali sesi shell baru dimulai, yang menjamin persistensi malware di seluruh sesi shell," jelasnya.

Di sisi lain, metode dock melibatkan pengunduhan alat dockutil yang ditandatangani dari server perintah dan kontrol untuk mengelola item dock. Malware kemudian membuat aplikasi Launchpad palsu dan mengganti entri jalur Launchpad yang sah di dock dengan yang palsu ini. 

Sistem ini memastikan bahwa setiap kali Launchpad dimulai dari dock, Launchpad yang sah dan muatan berbahaya akan dieksekusi.

"Teknik infeksi baru, Varian XCSSET baru memperkenalkan metode baru untuk penempatan payload dalam proyek Xcode target. Metode dipilih dari salah satu opsi berikut: TARGET, RULE, atau FORCED_STRATEGY. Metode tambahan melibatkan penempatan payload di dalam kunci TARGET_DEVICE_FAMILY di bawah pengaturan build dan menjalankannya di fase selanjutnya," terangnya.

Microsoft Defender for Endpoint di Mac mendeteksi XCSSET, termasuk varian terbaru ini. Pengguna harus selalu memeriksa dan memverifikasi semua proyek Xcode yang diunduh atau dikloning dari repositori.

"Karena malware biasanya menyebar melalui proyek yang terinfeksi. Mereka juga harus menginstal aplikasi hanya dari sumber tepercaya, seperti toko aplikasi resmi platform perangkat lunak," ungkapnya.