Skadelig programvare utnytter null-sårbarhet for å fange skjermbilder på Mac-maskiner

Sikkerhetsforskere har oppdaget at en skadelig programvare som har eksistert siden 2020, nå misbruker null-dagers sårbarheter i MacOS for å ta kontroll over mediaopptaksmulighetene til MacOS-systemer.

Den aktuelle malware heter XCSSET og ble først oppdaget av forskere som jobbet med Trend Micro for omtrent et år siden. Utviklerne bak XCSSET skadelig programvare målrettet opprinnelig Xcode-utviklere og klarte å sette opp en angrepvektor for forsyningskjeden, med legitime utviklere som noen ganger distribuerer apper som allerede er infisert med XCSSET uten å vite det.

De dårlige skuespillerne som utvikler XCSSET oppdaterer og forbedrer skadelig programvares evner kontinuerlig, noe som fremgår av nylige infeksjoner med XCSSET på systemer som kjører Apples nye M1 SoC.

Når XCSSET er distribuert på offerets system, har den muligheten til å exfiltrere nettleserkakene, og stjele påloggingsinformasjonen i prosessen. Skadelig programvare kan også stille installere en utviklet modifisert versjon av Safari, som gjør at de dårlige skuespillerne som kjører XCSSET, kan lure på brukeren uten problemer. Begge disse ondsinnede mulighetene utnyttet null-dagers sårbarheter.

Den siste funksjonen som ble lagt til i XCSSET inkluderer å ta skjermbilder av det som vises på det infiserte systemets skjerm. Dette oppnås ved å utnytte enda en null-dagers sårbarhet. Apple har allerede løst dette sikkerhetsproblemet med en oppdatering utgitt i slutten av mai 2021.

For å stille inn og overføre skjermbilder av offerets skjerm, handlet XCSSET mye som før. Skadelig programvare vil injisere ondsinnet kode i legitime applikasjoner og på denne måten omgå de strenge MacOS-sikkerhetsinnstillingene når det gjelder opptak av media på brukerens system. Selv om MacOS ville be om eksplisitt tillatelse før du tar opp lyd, video eller tar skjermgrep fra systemet, tillot null-dagers XCSSET å omgå denne bekreftelsen som krever brukerinngang.

XCSSET vil ofte misbruke meldingsapplikasjoner som brukes til videosamtaler som får tillatelse til skjermdeling hele tiden i daglig bruk. Disse inkluderer apper som Slack, WhatsApp og Zoom. Den ondsinnede koden som injiseres av skadelig programvare, vil misbruke de legitime rettighetene som gis til de vanlige appene, og arve dem på et systemnivå.

Når dette er oppnådd, vil XCSSET også bruke et nytt sertifikat på den nyopprettede appbunten, for å unngå å snuble i de innebygde MacOS-forsvarsmekanismene som forhindrer usignert kodeutførelse.

Selv om XCSSET spesifikt brukte den nå oppdaterte null-dagers sårbarheten for å ta skjermbilder, kunne smutthullet potensielt også ha blitt brukt til opptak av lyd og video. Tastetrykklogging, som iboende er knyttet til å stjele ikke bare passord, men også bank- og kredittkortinformasjon, var også potensielt utnyttbart.