Un logiciel malveillant exploite la vulnérabilité Zero-Day pour capturer des captures d'écran sur Mac

Les chercheurs en sécurité ont découvert qu'un malware qui existe depuis 2020 abuse désormais des vulnérabilités zero-day de MacOS pour prendre le contrôle des capacités d'enregistrement multimédia des systèmes MacOS.

Le logiciel malveillant en question s'appelle XCSSET et a été découvert pour la première fois par des chercheurs travaillant avec Trend Micro il y a environ un an. Les développeurs à l'origine du malware XCSSET ont initialement ciblé les développeurs Xcode et ont réussi à mettre en place un vecteur d'attaque de la chaîne d'approvisionnement, des développeurs légitimes distribuant parfois des applications déjà infectées par XCSSET sans le savoir.

Les mauvais acteurs qui développent XCSSET mettent continuellement à jour et améliorent les capacités du malware, ce qui est évident par les infections récentes avec XCSSET sur les systèmes exécutant le nouveau M1 SoC d'Apple.

Une fois déployé sur le système d'une victime, XCSSET a la capacité d'exfiltrer les cookies du navigateur, volant les informations de connexion dans le processus. Le logiciel malveillant peut également installer silencieusement une version modifiée en cours de développement de Safari, qui permet aux mauvais acteurs exécutant XCSSET d'espionner l'utilisateur sans problème. Ces deux capacités malveillantes exploitaient des vulnérabilités zero-day.

La capacité la plus récente ajoutée à XCSSET comprend la prise de captures d'écran de tout ce qui est affiché sur l'écran du système infecté. Ceci est réalisé en exploitant encore une autre vulnérabilité zero-day. Apple a déjà corrigé cette vulnérabilité avec un correctif publié fin mai 2021.

Pour capturer et transmettre en silence des captures d'écran de l'écran de la victime, XCSSET agissait beaucoup comme avant. Le logiciel malveillant injecterait un code malveillant dans des applications légitimes et contournerait ainsi les paramètres de sécurité MacOS stricts en ce qui concerne l'enregistrement de supports sur le système de l'utilisateur. Même si MacOS demandait une autorisation explicite avant d'enregistrer de l'audio, de la vidéo ou de prendre des captures d'écran du système, le jour zéro a permis à XCSSET de contourner cette confirmation qui nécessite l'entrée de l'utilisateur.

XCSSET abuserait généralement des applications de messagerie utilisées pour les appels vidéo qui reçoivent des autorisations de partage d'écran tout le temps dans leur utilisation quotidienne. Ceux-ci incluent des applications telles que Slack, WhatsApp et Zoom. Le code malveillant injecté par le malware abuserait des privilèges légitimes accordés aux applications normales et en hériterait à l'échelle du système.

Une fois que cela a été accompli, XCSSET appliquerait également un nouveau certificat au bundle d'applications nouvellement créé, afin d'éviter de déclencher les mécanismes de défense intégrés de MacOS empêchant l'exécution de code non signé.

Même si XCSSET a spécifiquement utilisé la vulnérabilité zero-day désormais corrigée pour saisir des captures d'écran, la faille aurait également pu être utilisée pour l'enregistrement audio et vidéo. La journalisation des frappes, qui est intrinsèquement liée au vol non seulement des mots de passe, mais également des informations bancaires et de carte de crédit, était également potentiellement exploitable.