Malware nutzt die Zero-Day-Sicherheitsanfälligkeit aus, um Screenshots auf Macs zu erfassen

Sicherheitsforscher haben herausgefunden, dass eine Malware, die es seit 2020 gibt, jetzt Zero-Day-Schwachstellen in MacOS missbraucht, um die Medienaufzeichnungsfunktionen von MacOS-Systemen zu kontrollieren.

Die fragliche Malware heißt XCSSET und wurde vor etwa einem Jahr erstmals von Forschern entdeckt, die mit Trend Micro zusammenarbeiten. Die Entwickler der XCSSET-Malware richteten sich zunächst an Xcode-Entwickler und schafften es, einen Angriffsvektor für die Lieferkette einzurichten. Manchmal verteilen legitime Entwickler Apps, die bereits mit XCSSET infiziert sind, ohne es zu wissen.

Die schlechten Akteure, die XCSSET entwickeln, aktualisieren und verbessern ständig die Funktionen der Malware. Dies zeigt sich in den jüngsten Infektionen mit XCSSET auf Systemen, auf denen Apples neuer M1 SoC ausgeführt wird.

Nach der Bereitstellung auf dem System eines Opfers kann XCSSET Browser-Cookies herausfiltern und dabei Anmeldeinformationen stehlen. Die Malware kann auch stillschweigend eine in der Entwicklung modifizierte Version von Safari installieren, die es den schlechten Akteuren, die XCSSET ausführen, ermöglicht, den Benutzer ohne Probleme zu überwachen. Beide böswilligen Funktionen haben Zero-Day-Schwachstellen ausgenutzt.

Die neueste Funktion, die XCSSET hinzugefügt wurde, umfasst das Erstellen von Screenshots von allem, was auf dem Bildschirm des infizierten Systems angezeigt wird. Dies wird erreicht, indem eine weitere Zero-Day-Sicherheitsanfälligkeit ausgenutzt wird. Apple hat diese Sicherheitsanfälligkeit bereits mit einem Ende Mai 2021 veröffentlichten Patch behoben.

Um Screenshots der Anzeige des Opfers still zu erfassen und zu übertragen, verhielt sich XCSSET ähnlich wie früher. Die Malware würde schädlichen Code in legitime Anwendungen einfügen und auf diese Weise die strengen MacOS-Sicherheitseinstellungen umgehen, wenn Medien auf dem System des Benutzers aufgezeichnet werden. Obwohl MacOS vor der Aufnahme von Audio, Video oder der Aufnahme von Screenshots vom System eine explizite Erlaubnis einholen würde, konnte XCSSET diese Bestätigung, die Benutzereingaben erfordert, am Zero-Day umgehen.

XCSSET missbraucht häufig Messaging-Anwendungen, die für Videoanrufe verwendet werden und im täglichen Gebrauch ständig Berechtigungen zur Bildschirmfreigabe erhalten. Dazu gehören Apps wie Slack, WhatsApp und Zoom. Der von der Malware injizierte Schadcode würde die legitimen Berechtigungen der normalen Apps missbrauchen und sie systemweit erben.

Sobald dies erreicht ist, würde XCSSET auch ein neues Zertifikat auf das neu erstellte App-Bundle anwenden, um zu vermeiden, dass die in MacOS integrierten Verteidigungsmechanismen ausgelöst werden, die die Ausführung von nicht signiertem Code verhindern.

Obwohl XCSSET speziell die jetzt gepatchte Zero-Day-Sicherheitsanfälligkeit zum Aufnehmen von Screenshots verwendet hat, könnte die Lücke möglicherweise auch für die Aufzeichnung von Audio und Video verwendet worden sein. Die Protokollierung von Tastenanschlägen, die inhärent mit dem Diebstahl nicht nur von Passwörtern, sondern auch von Bank- und Kreditkarteninformationen verbunden ist, war ebenfalls potenziell ausnutzbar.