Malware explora a vulnerabilidade de dia zero para capturar capturas de tela em Macs
Pesquisadores de segurança descobriram que um malware que existe desde 2020 agora está abusando de vulnerabilidades de dia zero no MacOS para assumir o controle dos recursos de gravação de mídia dos sistemas MacOS.
O malware em questão é denominado XCSSET e foi descoberto pela primeira vez por pesquisadores que trabalham com a Trend Micro há cerca de um ano. Os desenvolvedores por trás do malware XCSSET inicialmente tinham como alvo os desenvolvedores do Xcode e conseguiram configurar um vetor de ataque à cadeia de suprimentos, com desenvolvedores legítimos às vezes distribuindo aplicativos já infectados com XCSSET sem saber.
Os malfeitores que desenvolvem o XCSSET estão continuamente atualizando e melhorando os recursos do malware, o que é evidente por infecções recentes com o XCSSET em sistemas que executam o novo M1 SoC da Apple.
Uma vez implantado no sistema da vítima, o XCSSET tem a capacidade de exfiltrar cookies do navegador, roubando as credenciais de login no processo. O malware também pode instalar silenciosamente uma versão modificada em desenvolvimento do Safari, o que permite que os malfeitores que executam o XCSSET espionem o usuário sem problemas. Ambos os recursos maliciosos exploraram vulnerabilidades de dia zero.
O recurso mais recente adicionado ao XCSSET inclui fazer capturas de tela de tudo o que é exibido na tela do sistema infectado. Isso é conseguido explorando outra vulnerabilidade de dia zero. A Apple já corrigiu essa vulnerabilidade com um patch lançado no final de maio de 2021.
Para capturar e transmitir silenciosamente imagens da tela da vítima, o XCSSET estava agindo de forma muito semelhante ao que costumava fazer no passado. O malware injetaria código malicioso em aplicativos legítimos e, dessa forma, contornaria as rígidas configurações de segurança do MacOS quando se tratasse de gravar mídia no sistema do usuário. Mesmo que o MacOS pedisse permissão explícita antes de gravar áudio, vídeo ou obter capturas de tela do sistema, o dia zero permitiu que o XCSSET contornasse essa confirmação que requer a entrada do usuário.
O XCSSET costuma abusar dos aplicativos de mensagens usados para chamadas de vídeo que recebem permissões de compartilhamento de tela o tempo todo em seu uso diário. Isso inclui aplicativos como Slack, WhatsApp e Zoom. O código malicioso injetado pelo malware abusaria dos privilégios legítimos dados aos aplicativos normais e os herdaria em todo o sistema.
Uma vez que isso tenha sido feito, o XCSSET também aplicaria um novo certificado ao pacote de aplicativos recém-criado, a fim de evitar desarmar os mecanismos de defesa integrados do MacOS, impedindo a execução de código não assinado.
Mesmo que o XCSSET tenha usado especificamente a vulnerabilidade de dia zero agora corrigida para capturar imagens, a brecha poderia ter sido usada para gravar áudio e vídeo também. O registro de pressionamento de tecla, que está inerentemente vinculado ao roubo não apenas de senhas, mas também de informações bancárias e de cartão de crédito, também era potencialmente explorável.
