Otkriven zlonamjerni softver Xcsset koji može snimati snimke zaslona na macOS-u bez dopuštenja

Jamf je tvrtka za razvoj softvera koja nudi rješenja za upravljanje Mac računalima i razvija aplikacije za iOS i macOS. Ova je tvrtka napravila šokantno otkriće ranjivosti na macOS računalima koja može dopustiti zlonamjernom softveru XCSSET pristup, bez ograničenja, onim dijelovima operacijskog sustava koji obično zahtijevaju dopuštenje. Dostupne značajke uključuju mikrofon, web kameru i snimanje zaslona bez dopuštenja.

Zasluge za slike: Jamf

Zlonamjerni softver XCSSET otkrili su Trend Micro Antivirus servisi prošle godine 2020. godine. Doznalo se da je ovaj zlonamjerni softver ciljao Apple Developers i njihove Xcode projekte. Jednom kada su nedovršene aplikacije zaražene, zlonamjerni softver bi se proširio na sve one koji koriste, kodiraju ili testiraju te aplikacije. Trend Micro je ovu strategiju opisao kao Supply Chain Attack, što je značilo da zlonamjerni softver nije napao krajnje korisnike u početnoj fazi, već se usredotočio na instalatere aplikacija i prikrio se unutar sebe. Ovaj se zlonamjerni softver redovito ažurira s novijim varijantama pronađenim diljem svijeta koje ciljaju i na Apple uređaje s M1 čipom .

Slika: Trend Micro

Kako radi zlonamjerni softver XCSSET?

Trend Micro opisuje funkcioniranje zlonamjernog softvera na računalu žrtve kao dva nula dana. Prvi dan je hakirati preglednik Safari i dobiti sve kolačiće pomoću kojih haker može pristupiti svim online računima korisnika. Drugi nulti dan koristi se za instaliranje razvojne verzije preglednika Safari koji hakerima omogućuje kontrolu pristupa na bilo kojoj web stranici. Međutim, Jamf je otkrio da je postojao treći nulti dan koji je omogućio napadaču da napravi snimke zaslona korisnika, a da on/ona ne zna za to.

Slika: jabuka

Jamf istraživači Jaron Bradley, Ferdous Saljooki i Stuart Ashenbrenner dodatno su objasnili da ovaj zlonamjerni softver traži već instalirane aplikacije na računalu žrtve koje imaju dopuštenja za dijeljenje zaslona . Nakon što je identificiran, ovaj zlonamjerni softver ubrizgava kod za snimanje zaslona u te aplikacije koji zatim funkcionira kao povratna vožnja. Najpopularnije aplikacije uključuju Zoom, Slack i WhatsApp koje nesvjesno dijele svoja dopuštenja na macOS-u s ovim zlonamjernim softverom. Zlonamjerni softver XCSSET također potpisuje novi certifikat paketa aplikacija koji mu pomaže da izbjegne da ga sigurnost macOS-a označi.

Slika: Google

U idealnom scenariju, macOS je dizajniran da dobije dopuštenje od korisnika prije nego što odobri pristup i prava bilo kojoj aplikaciji. To uključuje snimanje zaslona, ​​korištenje mikrofona web kamere i pohranu. Međutim, ovaj je zlonamjerni softver bio sposoban zaobići ta dopuštenja jer je koristio koncept nadavanja da će pobjeći od radara s legitimnim softverom.

Konačno, Jamf je također izvijestio da, iako su njihovi nalazi uključivali činjenicu da je zlonamjerni softver hvatao screenshotove žrtvine radne površine, mogao bi se programirati na mnogo više od toga. Ovaj zlonamjerni softver može pristupiti korisnikovoj web kameri, mikrofonu, potezima tipkovnice i snimiti sve osobne podatke korisnika.

Apple je potvrdio da će njihovo najnovije ažuriranje ispraviti ovu grešku u macOS-u 11.4 koji se već počeo uvoditi korisnicima