Skadlig programvara utnyttjar nolldagars sårbarhet för att fånga skärmdumpar på Mac-datorer
Säkerhetsforskare har upptäckt att en skadlig kod som har funnits sedan 2020 nu missbrukar nolldagars sårbarheter i MacOS för att ta kontroll över mediainspelningsfunktionerna i MacOS-system.
Den aktuella skadliga programvaran heter XCSSET och upptäcktes först av forskare som arbetar med Trend Micro för ungefär ett år sedan. Utvecklarna bakom XCSSET-malware riktade inledningsvis Xcode-utvecklare och lyckades skapa en attackvektor för leveranskedjan, med legitima utvecklare som ibland distribuerar appar som redan är infekterade med XCSSET utan att veta det.
De dåliga aktörerna som utvecklar XCSSET uppdaterar och förbättrar kontinuerligt skadlig programvara, vilket framgår av de senaste infektionerna med XCSSET på system som kör Apples nya M1 SoC.
När XCSSET har distribuerats i ett offrets system har det möjlighet att exfiltrera webbläsarkakor och stjäla inloggningsuppgifter i processen. Skadlig kod kan också tyst installera en utvecklad modifierad version av Safari, som gör att de dåliga skådespelarna som kör XCSSET kan snoka på användaren utan problem. Båda dessa skadliga funktioner utnyttjade nolldagars sårbarheter.
Den senaste möjligheten som lagts till i XCSSET inkluderar att ta skärmdumpar av vad som helst som visas på det infekterade systemets skärm. Detta uppnås genom att utnyttja ytterligare en nolldagars sårbarhet. Apple har redan åtgärdat den sårbarheten med en patch som släpptes i slutet av maj 2021.
För att tyst fånga och överföra skärmdumpar av offrets display visade XCSSET mycket som tidigare. Skadlig programvara skulle injicera skadlig kod i legitima applikationer och på detta sätt kringgå de stränga MacOS-säkerhetsinställningarna när det gäller inspelningsmedier i användarens system. Även om MacOS skulle be om uttryckligt tillstånd innan du spelar in ljud, video eller tar skärmgrepp från systemet, tillät noll-dagars XCSSET att kringgå denna bekräftelse som kräver användarinmatning.
XCSSET skulle ofta missbruka meddelandeprogram som används för videosamtal som får tillstånd för skärmdelning hela tiden i deras dagliga användning. Dessa inkluderar appar som Slack, WhatsApp och Zoom. Den skadliga koden som injiceras av skadlig programvara skulle missbruka de legitima behörigheterna som ges till de vanliga apparna och ärva dem på systemnivå.
När detta väl har uppnåtts skulle XCSSET också tillämpa ett nytt certifikat på det nyskapade app-paketet för att undvika att snubblar inbyggda MacOS-försvarsmekanismer som förhindrar osignerad kodkörning.
Även om XCSSET specifikt använde den nu lappade nolldagens sårbarheten för att fånga skärmdumpar, kunde kryphålet potentiellt också ha använts för inspelning av ljud och video. Tangentloggning, som i sig är kopplad till att inte bara stjäla lösenord utan också bank- och kreditkortsinformation, var också potentiellt utnyttjbar.
