マルウェアはゼロデイ脆弱性を悪用してMacでスクリーンショットをキャプチャします

セキュリティ研究者は、2020年以来存在していたマルウェアが、MacOSシステムのメディア記録機能を制御するためにMacOSのゼロデイ脆弱性を悪用していることを発見しました。

問題のマルウェアはXCSSETという名前で、約1年前にトレンドマイクロと協力している研究者によって最初に発見されました。 XCSSETマルウェアの背後にいる開発者は、当初Xcode開発者をターゲットにして、サプライチェーン攻撃ベクトルを設定することに成功しました。正当な開発者は、XCSSETにすでに感染しているアプリを知らないうちに配布することがありました。

XCSSETを開発している悪意のある人物は、マルウェアの機能を継続的に更新および改善しています。これは、Appleの新しいM1SoCを実行しているシステムでのXCSSETの最近の感染から明らかです。

XCSSETは、被害者のシステムに展開されると、ブラウザのCookieを盗み出し、その過程でログイン資格情報を盗むことができます。このマルウェアは、開発中の変更バージョンのSafariをサイレントにインストールすることもできます。これにより、XCSSETを実行している悪意のある攻撃者が、問題なくユーザーをスヌープできます。これらの悪意のある機能は両方とも、ゼロデイ脆弱性を悪用しました。

XCSSETに追加された最新の機能には、感染したシステムの画面に表示されているものすべてのスクリーンショットを撮ることが含まれます。これは、さらに別のゼロデイ脆弱性を悪用することで実現されます。 Appleは、2021年5月下旬にリリースされたパッチでその脆弱性をすでに修正しています。

被害者のディスプレイのスクリーンショットを静かにキャプチャして送信するために、XCSSETは以前と同じように動作していました。マルウェアは、正当なアプリケーションに悪意のあるコードを挿入し、このようにして、ユーザーのシステムにメディアを記録する際に、厳格なMacOSセキュリティ設定をバイパスします。 MacOSは、オーディオ、ビデオを記録したり、システムからスクリーンショットを取得したりする前に明示的な許可を求めますが、ゼロデイ攻撃により、XCSSETはユーザー入力を必要とするこの確認をバイパスできました。

XCSSETは通常、日常の使用で常に画面共有権限が付与されているビデオ通話に使用されるメッセージングアプリケーションを悪用します。それらには、Slack、WhatsApp、Zoomなどのアプリが含まれます。マルウェアによって注入された悪意のあるコードは、通常のアプリに与えられた正当な特権を悪用し、システム全体のレベルでそれらを継承します。

それが完了すると、XCSSETは、署名されていないコードの実行を防ぐMacOSの組み込み防御メカニズムのトリップを回避するために、新しく作成されたアプリバンドルにも新しい証明書を適用します。

XCSSETは、パッチが適用されたゼロデイ脆弱性を特に使用してスクリーンショットを取得しましたが、抜け穴はオーディオとビデオの記録にも使用される可能性があります。パスワードだけでなく、銀行やクレジットカードの情報も盗むことに本質的に関連しているキーストロークロギングも、潜在的に悪用される可能性がありました。