恶意软件利用零日漏洞捕获Mac上的屏幕截图

安全研究人员发现，自2020年以来一直存在的恶意软件现在正在滥用MacOS中的零日漏洞，以控制MacOS系统的媒体记录功能。

有问题的恶意软件名为XCSSET，大约一年前由与趋势科技合作的研究人员首次发现。 XCSSET恶意软件背后的开发人员最初以Xcode开发人员为目标，并设法建立了供应链攻击媒介，合法开发人员有时不知不觉地分发已经感染了XCSSET的应用程序。

开发XCSSET的不良行为者正在不断更新和改善恶意软件的功能，最近在运行Apple新型M1 SoC的系统上感染XCSSET就是明显的证明。

一旦部署到受害人的系统上，XCSSET便能够泄漏浏览器Cookie，并在此过程中窃取登录凭据。该恶意软件还可以静默安装Safari的开发中修改版本，从而使运行XCSSET的不良行为者可以毫无问题地窥探用户。这两种恶意功能都利用了零日漏洞。

XCSSET中添加的最新功能包括对受感染系统屏幕上显示的内容进行截图。这是通过利用另一个零日漏洞实现的。苹果已经通过2021年5月下旬发布的补丁修复了该漏洞。

为了静默捕获并传输受害者显示的屏幕截图，XCSSET的行为与过去非常相似。该恶意软件会将恶意代码注入合法应用程序，并以此方式绕过在用户系统上记录媒体的严格MacOS安全设置。即使MacOS会在录制音频，视频或从系统抓屏之前要求获得明确的许可，但零日允许XCSSET绕过此要求用户输入的确认。

XCSSET通常会滥用用于视频通话的消息传递应用程序，这些应用程序在日常使用中始终会获得屏幕共享权限。这些包括诸如Slack，WhatsApp和Zoom之类的应用程序。由恶意软件注入的恶意代码将滥用赋予普通应用程序的合法特权，并在系统范围内继承它们。

一旦完成，XCSSET还将对新创建的应用程序捆绑包应用新证书，以避免触发MacOS内置防御机制，从而阻止未签名代码的执行。

即使XCSSET特别使用了现在修复的零日漏洞来捕获屏幕截图，该漏洞也有可能被用于录制音频和视频。击键日志记录也可能被利用，而击键日志记录不仅与窃取密码有关，而且与窃取银行和信用卡信息有内在的联系。