Вредоносное ПО использует уязвимость нулевого дня для создания снимков экрана на компьютерах Mac

Исследователи безопасности обнаружили, что вредоносное ПО, которое существует с 2020 года, теперь использует уязвимости нулевого дня в MacOS, чтобы взять под контроль возможности записи мультимедиа в системах MacOS.

Рассматриваемое вредоносное ПО называется XCSSET и было впервые обнаружено исследователями, работающими с Trend Micro, около года назад. Разработчики вредоносного ПО XCSSET изначально нацелены на разработчиков Xcode и сумели создать вектор атаки цепочки поставок, при этом законные разработчики иногда распространяют приложения, уже зараженные XCSSET, сами того не подозревая.

Злоумышленники, разрабатывающие XCSSET, постоянно обновляют и улучшают возможности вредоносного ПО, о чем свидетельствуют недавние заражения XCSSET в системах, работающих под управлением новой SoC M1 от Apple.

После развертывания в системе жертвы XCSSET имеет возможность извлекать файлы cookie браузера, похищая в процессе учетные данные. Вредоносная программа также может незаметно установить модифицированную версию Safari, находящуюся в разработке, что позволяет злоумышленникам, использующим XCSSET, без проблем отслеживать пользователя. Обе эти вредоносные возможности использовали уязвимости нулевого дня.

Самая последняя возможность, добавленная в XCSSET, включает создание снимков экрана всего, что отображается на экране зараженной системы. Это достигается за счет использования еще одной уязвимости нулевого дня. Apple уже устранила эту уязвимость с помощью патча, выпущенного в конце мая 2021 года.

Чтобы беззвучно захватывать и передавать снимки экрана с экрана жертвы, XCSSET действовал во многом так же, как и раньше. Вредоносное ПО будет внедрять вредоносный код в легитимные приложения и таким образом обходить строгие настройки безопасности MacOS, когда речь идет о носителях записи в системе пользователя. Несмотря на то, что MacOS будет запрашивать явное разрешение перед записью звука, видео или захватом экрана из системы, нулевой день позволил XCSSET обойти это подтверждение, требующее ввода данных пользователем.

XCSSET обычно злоупотребляет приложениями обмена сообщениями, используемыми для видеозвонков, которым при повседневном использовании постоянно предоставляются разрешения на совместное использование экрана. К ним относятся такие приложения, как Slack, WhatsApp и Zoom. Вредоносный код, внедренный вредоносной программой, будет злоупотреблять законными привилегиями, предоставленными обычным приложениям, и унаследовать их на общесистемном уровне.

Как только это будет выполнено, XCSSET также применит новый сертификат к вновь созданному пакету приложений, чтобы избежать срабатывания встроенных механизмов защиты MacOS, предотвращающих выполнение неподписанного кода.

Несмотря на то, что XCSSET специально использовал исправленную уязвимость нулевого дня для получения снимков экрана, лазейка потенциально могла быть использована и для записи аудио и видео. Регистрация нажатия клавиш, которая по своей сути связана с кражей не только паролей, но также информации о банковских и кредитных картах, также потенциально могла быть использована.