MacOS

Malware tertangkap menggunakan zero-day macOS untuk mengambil tangkapan layar secara diam-diam

May 26, 2021 by Mally

Hampir tepat sebulan yang lalu, para peneliti mengungkapkan keluarga malware terkenal mengeksploitasi kerentanan yang belum pernah terlihat sebelumnya yang memungkinkannya melewati pertahanan keamanan macOS dan berjalan tanpa hambatan. Sekarang, beberapa peneliti yang sama mengatakan malware lain dapat menyelinap ke sistem macOS, berkat kerentanan lain.

Jamf mengatakan menemukan bukti bahwa malware XCSSET mengeksploitasi kerentanan yang memungkinkannya mengakses bagian macOS yang memerlukan izin – seperti mengakses mikrofon, webcam, atau merekam layar – tanpa pernah mendapatkan persetujuan.

XCSSET pertama kali ditemukan oleh Trend Micro pada tahun 2020 yang menargetkan pengembang Apple, khususnya proyek Xcode yang mereka gunakan untuk membuat kode dan membuat aplikasi.

Dengan menginfeksi proyek pengembangan aplikasi tersebut, pengembang tanpa disadari mendistribusikan malware ke pengguna mereka, yang digambarkan oleh para peneliti Trend Micro sebagai “serangan seperti rantai pasokan”. Malware ini terus dikembangkan, dengan varian yang lebih baru juga menargetkan Mac yang menjalankan chip M1 yang lebih baru.

Setelah malware berjalan di komputer korban, ia menggunakan dua zero day – satu untuk mencuri cookie dari browser Safari untuk mendapatkan akses ke akun online korban, dan yang lainnya untuk diam-diam menginstal versi pengembangan Safari, memungkinkan penyerang untuk memodifikasi dan mengintip hampir semua situs web.

Tidak jelas berapa banyak Mac yang dapat diinfeksi oleh malware menggunakan teknik ini. Tetapi Apple mengonfirmasi kepada TechCrunch bahwa mereka memperbaiki bug di macOS 11.4, yang tersedia sebagai pembaruan hari ini.

Selengkapnya: Tech Crunch

Bug perangkat lunak memungkinkan malware melewati pertahanan keamanan macOS

April 27, 2021 by Mally

Selama bertahun-tahun, macOS menandai aplikasi yang berpotensi berbahaya yang menyamar sebagai dokumen yang telah diunduh dari internet. Dan jika macOS belum meninjau aplikasi – proses yang disebut Apple sebagai notarization – atau jika tidak mengenali pengembangnya, aplikasi tidak akan diizinkan untuk berjalan tanpa campur tangan pengguna.

Namun peneliti keamanan Cedric Owens mengatakan bug yang dia temukan pada pertengahan Maret melewati pemeriksaan tersebut dan memungkinkan aplikasi jahat untuk berjalan.

Owens memberi tahu TechCrunch bahwa bug tersebut memungkinkannya membuat aplikasi yang berpotensi berbahaya agar terlihat seperti dokumen yang tidak berbahaya, yang saat dibuka akan melewati pertahanan bawaan macOS saat dibuka.

Apple memberi tahu TechCrunch bahwa mereka memperbaiki bug di macOS 11.3. Apple juga menambal versi macOS sebelumnya untuk mencegah penyalahgunaan, dan menerapkan aturan yang diperbarui ke XProtect, mesin anti-malware bawaan macOS, untuk memblokir malware agar tidak mengeksploitasi kerentanan tersebut.

Owens meminta peneliti keamanan Mac Patrick Wardle untuk menyelidiki bagaimana – dan mengapa – bug itu bekerja. Dalam postingan blog teknis hari ini, Wardle menjelaskan bahwa kerentanan dipicu karena bug logika dalam kode yang mendasari macOS.

Dengan pengetahuan tentang cara kerja bug, Wardle meminta perusahaan keamanan Mac Jamf untuk melihat apakah ada bukti bahwa bug telah dieksploitasi sebelum penemuan Owens. Pimpinan deteksi Jamf, Jaron Bradley, mengonfirmasi bahwa sampel keluarga malware Shlayer yang mengeksploitasi bug telah terlihat pada awal Januari, beberapa bulan sebelum penemuan Owens.

Jamf juga menerbitkan blog teknis tentang malware tersebut.

Selengkapnya: Tech Crunch

Malware Linux, macOS baru disembunyikan dalam paket Browserify NPM palsu

April 14, 2021 by Mally

Paket berbahaya baru telah terlihat minggu ini di registri npm, yang menargetkan pengembang NodeJS yang menggunakan sistem operasi Linux dan Apple macOS.

Paket jahat ini disebut “web-browserify”, dan meniru komponen npm Browserify yang populer diunduh lebih dari 160 juta kali selama masa pakainya.

web-browserify sendiri dibangun dengan menggabungkan ratusan komponen open-source yang sah, dan melakukan aktivitas pengintaian ekstensif pada sistem yang terinfeksi.

Selain itu, sampai hari ini, malware ELF yang terkandung dalam komponen tersebut tidak terdeteksi oleh semua mesin antivirus terkemuka.

Komponen tersebut terdeteksi oleh sistem deteksi malware otomatis Sonatype, Release Integrity, dan dianggap berbahaya setelah dianalisis oleh tim riset keamanan Sonatype.

“web-browserify” dibuat oleh penulis dengan nama samaran yang menggambarkan diri mereka sebagai Steve Jobs.

Paket ini terdiri dari file manifes, package.json, skrip postinstall.js, dan ELF yang dapat dieksekusi yang disebut “run” yang ada dalam arsip terkompresi, run.tar.xz di dalam komponen npm.

Segera setelah “web-browserify” diinstal oleh pengembang, skrip mengekstrak dan meluncurkan biner Linux “run” dari arsip, yang kemudian meminta root permission dari pengguna.

Run binary yang diekstrak berukuran sekitar 120 MB dan memiliki ratusan komponen npm open-source yang sah yang digabungkan di dalamnya, yang disalahgunakan untuk aktivitas berbahaya.

Selengkapnya: Bleeping Computer

Bug macOS CVE-2019-8761

April 5, 2021 by Mally Leave a Comment

Seorang peneliti keamanan, Paulos Yibelo, menemukan sebuah bug pada sistem operasi macOS yang dicatat sebagai CVE-2019-8761.

Bug ini memungkinkan penyerang mengeksekusi HTML di dalam file .TXT yang dapat mengakibatkan kebocoran data dan mencuri kredensial pengguna. Bug ini sudah diperbaiki pada pembaruan macOS Catalina 10.15.1.

Penelitian ini berawal ketika Paulos menyadari pembaca teks default di OSX, TextEdit digunakan untuk membuka file dengan ekstensi TXT secara default.

Paulos menggambarkan File TXT adalah vektor serangan yang sangat menarik, karena sifatnya yang polos yang tidak membawa apa-apa selain teks. File TXT juga diasumsikan oleh perangkat lunak anti-virus, firewall, dan bahkan Gatekeeper Mac sendiri sebagai unduhan aman yang tidak mungkin berbahaya, yang membuatnya semakin menarik.

Salah satu bug pertama yang ia temukan menggunakan ini menunjukkan bahwa Gatekeeper tidak mengarantina file TXT meskipun file tersebut diunduh dari situs web yang mencurigakan.

Baca temuan selengkapnya pada tautan berikut: Paulos Yibelo

Pengembang Apple menjadi sasaran malware baru, EggShell backdoor

March 19, 2021 by Mally

Proyek Xcode berbahaya digunakan untuk membajak sistem pengembang dan menyebarkan backdoor EggShell khusus.

Malware, yang dijuluki XcodeSpy, menargetkan Xcode, lingkungan pengembangan terintegrasi (IDE) yang digunakan di macOS untuk mengembangkan perangkat lunak dan aplikasi Apple.

Menurut penelitian yang diterbitkan oleh SentinelLabs pada hari Kamis, fitur Run Script di IDE sedang dieksploitasi dalam serangan bertarget terhadap pengembang iOS melalui proyek Trojanized Xcode yang dibagikan secara bebas secara online.

Proyek Xcode sumber terbuka yang sah dapat ditemukan di GitHub. Namun, dalam kasus ini, proyek XcodeSpy menawarkan “advanced features” untuk menganimasikan bilah tab iOS – dan setelah versi awal diunduh dan diluncurkan, skrip berbahaya diterapkan untuk memasang backdoor EggShell.

Dua varian EggShell telah terdeteksi – dan salah satunya berbagi string terenkripsi dengan XcodeSpy. Backdoor ini mampu membajak mikrofon, kamera, dan keyboard pengembang korban, serta mengambil dan mengirim file ke C2 penyerang.

SentinelLabs mengatakan bahwa setidaknya satu organisasi AS telah terperangkap dalam serangan seperti ini dan pengembang di Asia mungkin juga telah terpengaruh oleh kampanye, yang beroperasi setidaknya antara Juli dan Oktober tahun lalu.

Selengkapnya: ZDNet

Malware baru yang ditemukan di 30.000 Mac membuat para profesional keamanan bingung

February 21, 2021 by Mally

Sepotong malware yang sebelumnya tidak terdeteksi yang ditemukan di hampir 30.000 Mac di seluruh dunia menghasilkan intrik di lingkaran keamanan, yang masih mencoba untuk memahami dengan tepat apa yang dilakukannya dan apa tujuan dari kemampuan penghancuran dirinya.

Setiap satu jam, Mac yang terinfeksi memeriksa server kontrol untuk melihat apakah ada perintah baru yang harus dijalankan malware atau binari untuk dijalankan. Namun, sejauh ini, para peneliti belum mengamati pengiriman muatan apa pun pada salah satu dari 30.000 mesin yang terinfeksi, sehingga tujuan akhir malware tidak diketahui. Kurangnya muatan akhir menunjukkan bahwa malware dapat beraksi begitu kondisi yang tidak diketahui terpenuhi.

Malware ini terkenal karena versi yang berjalan secara native pada chip M1 yang diperkenalkan Apple pada November, menjadikannya sebagai malware macOS kedua yang diketahui melakukannya. Biner jahat lebih misterius lagi, karena menggunakan macOS Installer JavaScript API untuk menjalankan perintah. Itu membuat sulit untuk menganalisis konten paket instalasi atau cara paket tersebut menggunakan perintah JavaScript.

Malware tersebut telah ditemukan di 153 negara dengan deteksi terkonsentrasi di AS, Inggris, Kanada, Prancis, dan Jerman. Penggunaannya atas Amazon Web Services dan jaringan pengiriman konten Akamai memastikan infrastruktur perintah bekerja dengan andal dan juga mempersulit pemblokiran server. Peneliti dari Red Canary, perusahaan keamanan yang menemukan malware tersebut, menyebut malware Silver Sparrow.

selengkapnya : ArsTechnica

Malware M1 MacBook pertama telah tiba – inilah yang perlu Anda ketahui

February 18, 2021 by Mally

Malware asli pertama dari MacBook bertenaga M1 telah ditemukan di alam liar, hanya beberapa bulan setelah kedatangan perangkat Apple Silicon pertama.

Berita tentang malware M1 pertama datang dari mantan peneliti NSA dan peneliti keamanan Mac lama Patrick Wardle, yang telah menemukan keberadaan GoSearch22.app, versi asli M1 dari virus Pirrit yang sudah lama ada.

“Hari ini kami mengonfirmasi bahwa musuh berbahaya memang membuat aplikasi multi-arsitektur, sehingga kode mereka akan berjalan secara native di sistem M1,” kata Wardle dalam postingan blog. “Aplikasi GoSearch22 yang berbahaya mungkin merupakan contoh pertama dari kode asli yang kompatibel dengan M1”.

Wardle mencatat bahwa adware ditandatangani dengan ID pengembang Apple, akun berbayar yang memungkinkan Apple melacak semua pengembang Mac dan iOS, pada 23 November.

Memiliki ID pengembang juga berarti membuat pengguna yang mengunduh malware tidak akan memicu Gatekeeper di macOS, yang memberi tahu pengguna saat aplikasi yang akan mereka unduh mungkin tidak aman.

Terlebih lagi, Wardle mengatakan bahwa sejumlah sistem antivirus saat ini yang dapat mendeteksi versi Intel dari virus Pirrit gagal mengidentifikasi versi M1.

Selengkapnya: Tech Radar

Apple memperbaiki bug data loss pada macOS Big Sur

February 17, 2021 by Mally

Selama beberapa minggu terakhir, macOS Big Sur mengalami bug yang dapat menyebabkan kehilangan data yang serius. Bug ini diperkenalkan di Big Sur 11.2, dan berhasil masuk ke data 11.3.

Bug datang ke penginstal macOS Big Sur yang tidak memeriksa apakah Mac memiliki ruang kosong yang diperlukan untuk melakukan peningkatan. Pemutakhiran mengalami masalah, dan jika itu tidak cukup buruk, jika Mac pengguna dienkripsi menggunakan FileVault, maka pengguna tidak dapat mengakses datanya.

Bug ini dieksplorasi secara ekstensif oleh Mr. Macintosh, bersama dengan video yang sangat informatif dan rinci. Bug itu dipersempit ke zona Goldilocks, di mana pengguna memiliki lebih dari 13GB ruang kosong, tetapi kurang dari 35,5GB.

Kabar baiknya adalah Apple akhirnya merilis penginstal macOS Big Sur 11.2.1 yang diperbarui – (20D75) – yang memeriksa ruang kosong dengan benar.

Untuk melakukan update pada macOS :

Pilih “System Preference” dari menu Apple, lalu klik “Software Update” untuk memeriksa pembaruan.

Pengguna disarankan untuk membackup filenya. Juga, periksa persyaratan sistem dan jangan mengandalkan penginstal untuk memeriksa semuanya.

Source : ZDnet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

MacOS

Cookies Settings