Malware udnytter nul-dags sårbarhed til at optage skærmbilleder på Mac-computere

Sikkerhedsforskere har opdaget, at en malware, der har eksisteret siden 2020, nu misbruger nul-dags sårbarheder i MacOS for at tage kontrol over medieoptagelsesfunktionerne i MacOS-systemer.

Den pågældende malware hedder XCSSET og blev først opdaget af forskere, der arbejder med Trend Micro for omkring et år siden. Udviklerne bag XCSSET-malware var oprindeligt målrettet mod Xcode-udviklere og formåede at oprette en forsyningskædeanfaldsvektor, hvor legitime udviklere undertiden distribuerede apps, der allerede var inficeret med XCSSET uden at vide det.

De dårlige aktører, der udvikler XCSSET, opdaterer løbende og forbedrer malwareens muligheder, hvilket tydeligt fremgår af nylige infektioner med XCSSET på systemer, der kører Apples nye M1 SoC.

Når XCSSET er implementeret på et offers system, har det muligheden for at exfiltrere browsercookies og stjæle loginoplysninger i processen. Malwaren kan også lydløst installere en ændret version af Safari under udvikling, som gør det muligt for de dårlige skuespillere, der kører XCSSET, at snuse brugeren uden problemer. Begge disse ondsindede kapaciteter udnyttede nul-dags sårbarheder.

Den seneste kapacitet, der er tilføjet til XCSSET, inkluderer at tage skærmbilleder af det, der vises på det inficerede systems skærm. Dette opnås ved at udnytte endnu en nul-dags sårbarhed. Apple har allerede rettet denne sårbarhed med en patch udgivet i slutningen af maj 2021.

For lydløst at fange og transmittere skærmbilleder af offerets skærm, handlede XCSSET meget som før. Malwaren vil injicere ondsindet kode i legitime applikationer og på denne måde omgå de strenge MacOS-sikkerhedsindstillinger, når det kommer til optagemedier på brugerens system. Selvom MacOS vil bede om eksplicit tilladelse, før de optager lyd, video eller tager skærmgreb fra systemet, tillod nul-dagen XCSSET at omgå denne bekræftelse, der kræver brugerinput.

XCSSET ville ofte misbruge messaging-applikationer, der bruges til videoopkald, der får tilladelse til skærmdeling hele tiden i deres daglige brug. Disse inkluderer apps som Slack, WhatsApp og Zoom. Den ondsindede kode, der injiceres af malware, misbruger de legitime privilegier, der gives til de normale apps, og arver dem på et systemniveau.

Når dette er opnået, anvender XCSSET også et nyt certifikat til den nyoprettede app-pakke for at undgå at snuble de indbyggede MacOS-forsvarsmekanismer, der forhindrer usigneret kodeudførelse.

Selvom XCSSET specifikt brugte den nu patchede nul-dags sårbarhed til at få fat i skærmbilleder, kunne smuthullet muligvis også have været brugt til optagelse af lyd og video. Tastningslogning, som i sagens natur er knyttet til at stjæle ikke kun adgangskoder, men også bank- og kreditkortoplysninger, kunne også udnyttes.

May 26, 2021
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.