Kenkėjiška programa naudoja nulio dienos pažeidžiamumą, kad užfiksuotų ekrano kopijas „Mac“

Saugumo tyrėjai atrado, kad nuo 2020 m. Egzistuojanti kenkėjiška programa piktnaudžiauja „MacOS“ nulinės dienos pažeidžiamumais, kad galėtų kontroliuoti „MacOS“ sistemų žiniasklaidos įrašymo galimybes.

Aptariama kenkėjiška programa yra pavadinta XCSSET ir ją pirmą kartą atrado tyrėjai, dirbantys su „Trend Micro“ maždaug prieš metus. „XCSSET“ kenkėjiškos programos kūrėjai iš pradžių buvo nukreipti į „Xcode“ kūrėjus ir sugebėjo sukurti tiekimo grandinės atakos vektorių, o teisėti kūrėjai kartais platino programas, jau užkrėstas XCSSET, to nežinodami.

Blogi veikėjai, kuriantys „XCSSET“, nuolat atnaujina ir tobulina kenkėjiškų programų galimybes, tai akivaizdu dėl neseniai užkrėstų „XCSSET“ sistemose, kuriose veikia naujas „Apple“ M1 SoC.

Pritaikytas aukos sistemoje, „XCSSET“ turi galimybę išfiltruoti naršyklės slapukus, proceso metu pavogdamas prisijungimo duomenis. Kenkėjiška programa taip pat gali tyliai įdiegti modifikuotą „Safari“ versiją, kuri leidžia „XCSSET“ valdantiems blogiems veikėjams be problemų šnipinėti vartotoją. Abi šios kenkėjiškos galimybės panaudojo nulinės dienos pažeidžiamumą.

Naujausia „XCSSET“ pridėta galimybė apima ekrano kopijas, rodomas užkrėstos sistemos ekrane. Tai pasiekiama išnaudojant dar vieną nulinės dienos pažeidžiamumą. „Apple“ jau pašalino šį pažeidžiamumą pleistru, išleistu 2021 metų gegužės pabaigoje.

Kad tyliai užfiksuotų ir perduotų aukos ekrano ekrano kopijas, „XCSSET“ elgėsi panašiai kaip anksčiau. Kenkėjiška programa įterpia kenkėjišką kodą į teisėtas programas ir tokiu būdu apeina griežtus „MacOS“ saugos nustatymus, kai reikia įrašyti laikmenas į vartotojo sistemą. Nors „MacOS“ prašys aiškaus leidimo prieš įrašinėdamas garso, vaizdo įrašus ar paimdamas ekrano griebimus iš sistemos, nulinės dienos leidimas „XCSSET“ apeiti šį patvirtinimą, kuriam reikia vartotojo įvesties.

„XCSSET“ dažniausiai piktnaudžiautų vaizdo skambučiams naudojamomis susirašinėjimo programomis, kurioms kasdien suteikiami leidimai dalytis ekranu. Tai apima tokias programas kaip „Slack“, „WhatsApp“ ir „Zoom“. Kenkėjiškos programos įterptas kenkėjiškas kodas piktnaudžiauja teisėtomis privilegijomis, suteiktomis įprastoms programoms, ir paveldės jas visos sistemos lygmeniu.

Tai įvykdžius, „XCSSET“ taip pat pritaikys naują sertifikatą naujai sukurtam programų paketui, kad būtų išvengta „MacOS“ integruotų gynybos mechanizmų kliūčių, užkertančių kelią nepasirašytam kodo vykdymui.

Nors XCSSET specialiai naudojo dabar pataisytą nulinės dienos pažeidžiamumą, kad paimtų ekrano kopijas, spraga galėjo būti naudojama ir garso bei vaizdo įrašams įrašyti. Taip pat potencialiai buvo galima pasinaudoti klavišų registravimu, kuris savaime susijęs su ne tik slaptažodžių, bet ir banko bei kreditinių kortelių informacijos vagystėmis.