Malware maakt misbruik van zero-day kwetsbaarheid om screenshots op Macs te maken

Beveiligingsonderzoekers hebben ontdekt dat een malware die al bestaat sinds 2020 nu zero-day-kwetsbaarheden in MacOS misbruikt om controle te krijgen over de media-opnamemogelijkheden van MacOS-systemen.

De malware in kwestie heet XCSSET en werd ongeveer een jaar geleden voor het eerst ontdekt door onderzoekers die met Trend Micro werkten. De ontwikkelaars achter de XCSSET-malware richtten zich aanvankelijk op Xcode-ontwikkelaars en slaagden erin een supply chain-aanvalsvector op te zetten, waarbij legitieme ontwikkelaars soms apps distribueerden die al met XCSSET waren geïnfecteerd zonder het te weten.

De slechte actoren die XCSSET ontwikkelen, zijn voortdurend bezig met het updaten en verbeteren van de mogelijkheden van de malware, wat blijkt uit recente besmettingen met XCSSET op systemen waarop Apple's nieuwe M1 SoC draait.

Eenmaal geïmplementeerd op het systeem van een slachtoffer, heeft XCSSET de mogelijkheid om browsercookies te exfiltreren en daarbij inloggegevens te stelen. De malware kan ook stilzwijgend een in ontwikkeling zijnde aangepaste versie van Safari installeren, waardoor de slechteriken die XCSSET draaien zonder problemen naar de gebruiker kunnen snuffelen. Beide kwaadaardige mogelijkheden maakten gebruik van zero-day-kwetsbaarheden.

De meest recente mogelijkheid die aan XCSSET is toegevoegd, omvat het maken van schermafbeeldingen van wat er op het scherm van het geïnfecteerde systeem wordt weergegeven. Dit wordt bereikt door gebruik te maken van nog een zero-day-kwetsbaarheid. Apple heeft die kwetsbaarheid al verholpen met een patch die eind mei 2021 werd uitgebracht.

Om stilletjes schermafbeeldingen van het scherm van het slachtoffer te maken en te verzenden, gedroeg XCSSET zich ongeveer zoals vroeger. De malware zou kwaadaardige code in legitieme applicaties injecteren en op deze manier de strenge MacOS-beveiligingsinstellingen omzeilen als het gaat om het opnemen van media op het systeem van de gebruiker. Hoewel MacOS om expliciete toestemming zou vragen alvorens audio of video op te nemen of schermafdrukken van het systeem te nemen, stond de zero-day XCSSET toe om deze bevestiging te omzeilen die gebruikersinvoer vereist.

XCSSET zou in het algemeen misbruik maken van berichtentoepassingen die worden gebruikt voor videogesprekken en die de hele tijd machtigingen voor het delen van schermen krijgen bij hun dagelijks gebruik. Dat zijn onder meer apps zoals Slack, WhatsApp en Zoom. De kwaadaardige code die door de malware wordt geïnjecteerd, zou misbruik maken van de legitieme rechten die aan de normale apps zijn toegekend en deze op systeembreed niveau erven.

Zodra dat is bereikt, past XCSSET ook een nieuw certificaat toe op de nieuw gecreëerde app-bundel, om te voorkomen dat de in MacOS ingebouwde verdedigingsmechanismen worden uitgeschakeld waardoor niet-ondertekende code wordt uitgevoerd.

Hoewel XCSSET specifiek de nu gepatchte zero-day-kwetsbaarheid gebruikte om schermafbeeldingen te maken, had de maas in de wet mogelijk ook kunnen worden gebruikt voor het opnemen van audio en video. Het loggen van toetsaanslagen, dat inherent is gekoppeld aan het stelen van niet alleen wachtwoorden, maar ook bank- en creditcardgegevens, was ook potentieel misbruikbaar.