Malware aprovecha la vulnerabilidad de día cero para capturar capturas de pantalla en Mac
Los investigadores de seguridad han descubierto que un malware que existe desde 2020 ahora está abusando de las vulnerabilidades de día cero en MacOS para tomar el control de las capacidades de grabación de medios de los sistemas MacOS.
El malware en cuestión se llama XCSSET y fue descubierto por investigadores que trabajaban con Trend Micro hace aproximadamente un año. Los desarrolladores detrás del malware XCSSET se dirigieron inicialmente a los desarrolladores de Xcode y lograron establecer un vector de ataque de la cadena de suministro, y los desarrolladores legítimos a veces distribuían aplicaciones ya infectadas con XCSSET sin saberlo.
Los malos actores que desarrollan XCSSET actualizan y mejoran continuamente las capacidades del malware, lo cual es evidente por las infecciones recientes con XCSSET en sistemas que ejecutan el nuevo SoC M1 de Apple.
Una vez implementado en el sistema de la víctima, XCSSET tiene la capacidad de filtrar las cookies del navegador, robando las credenciales de inicio de sesión en el proceso. El malware también puede instalar silenciosamente una versión modificada en desarrollo de Safari, lo que permite a los malos actores que ejecutan XCSSET espiar al usuario sin problemas. Ambas capacidades maliciosas explotaron vulnerabilidades de día cero.
La capacidad más reciente agregada a XCSSET incluye tomar capturas de pantalla de lo que se muestra en la pantalla del sistema infectado. Esto se logra aprovechando otra vulnerabilidad de día cero. Apple ya ha solucionado esa vulnerabilidad con un parche lanzado a fines de mayo de 2021.
Para capturar y transmitir en silencio capturas de pantalla de la pantalla de la víctima, XCSSET estaba actuando de manera muy similar a como solía hacerlo en el pasado. El malware inyectaría código malicioso en aplicaciones legítimas y de esta manera eludiría las estrictas configuraciones de seguridad de MacOS cuando se trata de grabar medios en el sistema del usuario. Aunque MacOS solicitaría permiso explícito antes de grabar audio, video o tomar capturas de pantalla del sistema, el día cero permitió que XCSSET pasara por alto esta confirmación que requiere la participación del usuario.
XCSSET comúnmente abusaría de las aplicaciones de mensajería utilizadas para videollamadas a las que se les otorgan permisos para compartir pantalla todo el tiempo en su uso diario. Entre ellas se incluyen aplicaciones como Slack, WhatsApp y Zoom. El código malicioso inyectado por el malware abusaría de los privilegios legítimos otorgados a las aplicaciones normales y los heredaría a nivel de todo el sistema.
Una vez que se haya logrado eso, XCSSET también aplicaría un nuevo certificado al paquete de aplicaciones recién creado, para evitar disparar los mecanismos de defensa integrados de MacOS que evitan la ejecución de código sin firmar.
A pesar de que XCSSET usó específicamente la vulnerabilidad de día cero ahora parcheada para tomar capturas de pantalla, la laguna podría haberse utilizado también para grabar audio y video. El registro de pulsaciones de teclas, que está intrínsecamente vinculado al robo no solo de contraseñas, sino también de información bancaria y de tarjetas de crédito, también era potencialmente explotable.
