Zbulohet malware Xcsset i cili mund të marrë pamje nga ekrani në macOS pa leje

Jamf është një firmë e zhvillimit të softuerit që ofron zgjidhje të menaxhimit të Mac dhe zhvillon aplikacione për iOS dhe macOS. Kjo firmë ka bërë një zbulim tronditës të një cenueshmërie në kompjuterët macOS që mund të lejojë që malware XCSSET të aksesojë, pa kufizime, ato pjesë të sistemit operativ që zakonisht kërkojnë leje. Karakteristikat e aksesueshme përfshijnë një mikrofon, kamerë në internet dhe regjistrimin e ekranit pa leje.

Kreditë e imazhit: Jamf

Malware XCSSET u zbulua nga shërbimet Trend Micro Antivirus vitin e kaluar në vitin 2020. U zbulua se ky malware synonte Zhvilluesit e Apple dhe projektet e tyre Xcode. Pasi të infektoheshin aplikacionet jo të plota, malware do të përhapej te të gjithë ata që përdorin, kodojnë ose testojnë këto aplikacione. Trend Micro e përshkroi këtë strategji si Supply Chain Attack, që do të thoshte se malware nuk sulmoi përdoruesit fundorë në fazën fillestare, por u fokusua në instaluesit e aplikacioneve dhe u maskua brenda. Ky malware është përditësuar rregullisht me variante më të reja të gjetura në të gjithë globin që synojnë edhe pajisjet Apple me çipin M1 .

Imazhi: Trend Micro

Si funksionon malware XCSSET?

Trend Micro e përshkruan funksionimin e malware në kompjuterin e viktimës si dy ditë zero. Dita e parë është të hakoni në shfletuesin Safari dhe të merrni të gjitha cookie-t me të cilat hakeri mund të hyjë në të gjitha llogaritë e përdoruesve në internet. Dita e dytë zero përdoret për të instaluar një version zhvillimi të shfletuesit Safari i cili lejon hakerët të kontrollojnë aksesin në çdo faqe interneti. Megjithatë, Jamf ka zbuluar se ekzistonte një ditë e tretë zero që i lejonte sulmuesit të merrte pamje nga ekrani i përdoruesit pa e ditur ai/ajo për të.

Imazhi: Apple

Studiuesit e Jamf-it Jaron Bradley, Ferdous Saljooki dhe Stuart Ashenbrenner kanë shpjeguar më tej se ky malware kërkon aplikacione të instaluara tashmë në kompjuterin e viktimës që kanë leje për ndarjen e ekranit . Pasi të identifikohet, ky malware injekton kodin e regjistrimit të ekranit në ato aplikacione, i cili më pas funksionon si një udhëtim me piggyback. Aplikacionet më të njohura përfshijnë Zoom, Slack dhe WhatsApp që ndajnë pa vetëdije lejet e tyre në macOS me këtë malware. Malware XCSSET gjithashtu nënshkruan një certifikatë të re të paketës së aplikacioneve, e cila e ndihmon atë të shmangë raportimin nga siguria macOS.

Imazhi: Google

Në një skenar ideal, macOS është krijuar për të marrë leje nga përdoruesi përpara se të japë akses dhe të drejta për çdo aplikacion. Kjo përfshin regjistrimin e ekranit, përdorimin e mikrofonit të kamerës së internetit dhe hapësirën ruajtëse. Sidoqoftë, ky malware ishte i aftë t'i anashkalonte ato leje pasi përdorte konceptin e "derrcës" së shpresës për një udhëtim për t'i shpëtuar radarit me softuer legjitim.

Më në fund, Jamf gjithashtu raportoi se megjithëse gjetjet e tyre përfshinin faktin se malware po kapte pamjet e ekranit të desktopit të viktimës, ai mund të programohej në shumë më tepër se kaq. Ky malware mund të hyjë në kamerën e internetit të përdoruesit, mikrofonin, goditjet e tastierës dhe të kapë të gjitha të dhënat personale të përdoruesit.

Apple ka konfirmuar se përditësimi i tyre i fundit do të rregullojë këtë defekt në macOS 11.4 i cili tashmë ka filluar të shpërndahet tek përdoruesit