Il malware sfrutta la vulnerabilità zero-day per acquisire schermate su Mac

I ricercatori di sicurezza hanno scoperto che un malware in circolazione dal 2020 sta ora abusando delle vulnerabilità zero-day in MacOS per assumere il controllo delle capacità di registrazione multimediale dei sistemi MacOS.

Il malware in questione si chiama XCSSET ed è stato scoperto per la prima volta dai ricercatori che lavorano con Trend Micro circa un anno fa. Gli sviluppatori dietro il malware XCSSET hanno inizialmente preso di mira gli sviluppatori Xcode e sono riusciti a impostare un vettore di attacco alla catena di approvvigionamento, con sviluppatori legittimi che a volte distribuivano app già infettate da XCSSET senza saperlo.

I malintenzionati che sviluppano XCSSET aggiornano e migliorano continuamente le capacità del malware, il che è evidente dalle recenti infezioni con XCSSET su sistemi che eseguono il nuovo SoC M1 di Apple.

Una volta distribuito sul sistema di una vittima, XCSSET ha la capacità di esfiltrare i cookie del browser, rubando le credenziali di accesso nel processo. Il malware può anche installare silenziosamente una versione modificata in fase di sviluppo di Safari, che consente ai malintenzionati che eseguono XCSSET di spiare l'utente senza problemi. Entrambe queste funzionalità dannose hanno sfruttato le vulnerabilità zero-day.

La funzionalità più recente aggiunta a XCSSET include l'acquisizione di schermate di tutto ciò che viene visualizzato sullo schermo del sistema infetto. Ciò si ottiene sfruttando ancora un'altra vulnerabilità zero-day. Apple ha già risolto questa vulnerabilità con una patch rilasciata a fine maggio 2021.

Per acquisire e trasmettere silenziosamente screenshot del display della vittima, XCSSET si comportava in modo molto simile a prima. Il malware inietta codice dannoso in applicazioni legittime e in questo modo aggira le rigorose impostazioni di sicurezza di MacOS quando si tratta di registrare supporti sul sistema dell'utente. Anche se MacOS chiedeva un'autorizzazione esplicita prima di registrare audio, video o acquisire schermate dal sistema, lo zero-day ha consentito a XCSSET di bypassare questa conferma che richiede l'input dell'utente.

XCSSET abuserebbe comunemente delle applicazioni di messaggistica utilizzate per le videochiamate a cui vengono fornite autorizzazioni di condivisione dello schermo per tutto il tempo nel loro uso quotidiano. Questi includono app come Slack, WhatsApp e Zoom. Il codice dannoso iniettato dal malware abuserebbe dei privilegi legittimi concessi alle normali app e le erediterebbe a livello di sistema.

Una volta ottenuto ciò, XCSSET applicherebbe anche un nuovo certificato al bundle di app appena creato, al fine di evitare di far scattare i meccanismi di difesa incorporati di MacOS che impediscono l'esecuzione di codice non firmato.

Anche se XCSSET ha utilizzato specificamente la vulnerabilità zero-day ora patchata per acquisire schermate, la scappatoia avrebbe potuto essere potenzialmente utilizzata anche per la registrazione di audio e video. Anche la registrazione delle sequenze di tasti, intrinsecamente collegata al furto non solo delle password ma anche delle informazioni bancarie e delle carte di credito, era potenzialmente sfruttabile.