恶意软件利用零日漏洞捕获Mac上的屏幕截图
安全研究人员发现,自2020年以来一直存在的恶意软件现在正在滥用MacOS中的零日漏洞,以控制MacOS系统的媒体记录功能。
有问题的恶意软件名为XCSSET,大约一年前由与趋势科技合作的研究人员首次发现。 XCSSET恶意软件背后的开发人员最初以Xcode开发人员为目标,并设法建立了供应链攻击媒介,合法开发人员有时不知不觉地分发已经感染了XCSSET的应用程序。
开发XCSSET的不良行为者正在不断更新和改善恶意软件的功能,最近在运行Apple新型M1 SoC的系统上感染XCSSET就是明显的证明。
一旦部署到受害人的系统上,XCSSET便能够泄漏浏览器Cookie,并在此过程中窃取登录凭据。该恶意软件还可以静默安装Safari的开发中修改版本,从而使运行XCSSET的不良行为者可以毫无问题地窥探用户。这两种恶意功能都利用了零日漏洞。
XCSSET中添加的最新功能包括对受感染系统屏幕上显示的内容进行截图。这是通过利用另一个零日漏洞实现的。苹果已经通过2021年5月下旬发布的补丁修复了该漏洞。
为了静默捕获并传输受害者显示的屏幕截图,XCSSET的行为与过去非常相似。该恶意软件会将恶意代码注入合法应用程序,并以此方式绕过在用户系统上记录媒体的严格MacOS安全设置。即使MacOS会在录制音频,视频或从系统抓屏之前要求获得明确的许可,但零日允许XCSSET绕过此要求用户输入的确认。
XCSSET通常会滥用用于视频通话的消息传递应用程序,这些应用程序在日常使用中始终会获得屏幕共享权限。这些包括诸如Slack,WhatsApp和Zoom之类的应用程序。由恶意软件注入的恶意代码将滥用赋予普通应用程序的合法特权,并在系统范围内继承它们。
一旦完成,XCSSET还将对新创建的应用程序捆绑包应用新证书,以避免触发MacOS内置防御机制,从而阻止未签名代码的执行。
即使XCSSET特别使用了现在修复的零日漏洞来捕获屏幕截图,该漏洞也有可能被用于录制音频和视频。击键日志记录也可能被利用,而击键日志记录不仅与窃取密码有关,而且与窃取银行和信用卡信息有内在的联系。