A kártevő a nulla napos biztonsági rést kihasználja a képernyőképek rögzítésére Mac gépeken
Biztonsági kutatók felfedezték, hogy egy 2020 óta működő rosszindulatú program most visszaél a nulla napos sebezhetőségekkel a MacOS-ban, hogy átvegye az irányítást a MacOS-rendszerek médiafelvételi képességei felett.
A szóban forgó rosszindulatú program neve XCSSET, amelyet a Trend Micro-val dolgozó kutatók fedeztek fel körülbelül egy évvel ezelőtt. Az XCSSET kártevő mögött álló fejlesztők kezdetben az Xcode fejlesztőket célozták meg, és sikerült létrehozniuk egy ellátási lánc támadási vektort, a törvényes fejlesztők néha anélkül, hogy tudták volna, terjesztették az XCSSET már megfertőzött alkalmazásokat.
Az XCSSET-t fejlesztő rossz szereplők folyamatosan frissítik és javítják a rosszindulatú programok képességeit, ami nyilvánvaló az Apple új M1 SoC-jét futtató rendszereken az utóbbi időben bekövetkezett XCSSET-fertőzésekből.
Miután az áldozat rendszerére telepítette, az XCSSET képes kiszűrni a böngésző cookie-kat, ellopva a bejelentkezési adatokat. A kártevő némán telepítheti a Safari fejlesztés alatt álló, módosított változatát is, amely lehetővé teszi, hogy az XCSSET-et futtató rossz szereplők problémamentesen leskelődjenek a felhasználó felett. Mindkét rosszindulatú képesség nulla napos biztonsági réseket használt ki.
Az XCSSET legfrissebb képessége magában foglalja a képernyőképek készítését a fertőzött rendszer képernyőjén megjelenített adatokról. Ezt egy újabb nulla napos biztonsági rés kihasználásával lehet elérni. Az Apple ezt a biztonsági rést már javította egy 2021. május végén kiadott javítással.
Az áldozat kijelzőjének csendes rögzítéséhez és képernyőképeinek átadásához az XCSSET hasonlóan viselkedett, mint korábban. A rosszindulatú program rosszindulatú kódot injektál a legális alkalmazásokba, és így megkerüli a szigorú MacOS biztonsági beállításokat, amikor a médiát a felhasználó rendszerére kell rögzíteni. Annak ellenére, hogy a MacOS kifejezett engedélyt kérne, mielőtt hangot, videót rögzítene, vagy képernyőrögzítéseket készítene a rendszerből, a nulla nap engedélyezte az XCSSET számára, hogy megkerülje ezt a felhasználói bevitelt igénylő megerősítést.
Az XCSSET általában visszaélne a videohívásokhoz használt üzenetkezelő alkalmazásokkal, amelyek mindennapi használatuk során folyamatosan képernyőmegosztási engedélyeket kapnak. Ezek között vannak olyan alkalmazások, mint a Slack, a WhatsApp és a Zoom. A rosszindulatú program által injektált rosszindulatú kód visszaélne a normál alkalmazásokhoz biztosított jogos kiváltságokkal, és rendszerszinten örökölné őket.
Amint ez megvalósult, az XCSSET új tanúsítványt is alkalmaz az újonnan létrehozott alkalmazáscsomagra, hogy elkerülje a MacOS beépített védelmi mechanizmusainak buktatását, megakadályozva az aláíratlan kódfuttatást.
Annak ellenére, hogy az XCSSET kifejezetten a már javított, nulla napos biztonsági rést használta a képernyőképek megragadásához, a kiskaput potenciálisan felhasználhatták hang és videó rögzítésére is. A billentyűparancsok naplózása, amely eleve nem csak jelszavak, hanem banki és hitelkártya-információk ellopásához kapcsolódik, szintén kihasználható volt.