Malware Xcsset uppgötvað sem getur tekið skjámyndir á macOS án leyfis

Jamf er hugbúnaðarþróunarfyrirtæki sem býður upp á Mac-stjórnunarlausnir og þróar forrit fyrir iOS og macOS. Þetta fyrirtæki hefur gert átakanlega uppgötvun á varnarleysi í macOS tölvum sem getur gert XCSSET spilliforritinu kleift að fá aðgang, án takmarkana, til þeirra hluta stýrikerfisins sem venjulega þurfa leyfi. Aðgengilegir eiginleikar fela í sér hljóðnema, vefmyndavél og upptöku á skjánum án leyfis.

Myndinneign: Jamf

XCSSET spilliforritið var uppgötvað af Trend Micro vírusvarnarþjónustum á síðasta ári árið 2020. Það kom í ljós að þessi spilliforrit beitti sér fyrir Apple Developers og Xcode verkefni þeirra. Þegar ófullnægjandi forritin voru sýkt myndi spilliforritið dreifast til allra sem nota, kóða eða prófa þessi forrit. Trend Micro lýsti þessari stefnu sem Supply Chain Attack, sem þýddi að spilliforritið réðst ekki á endanotendur í upphafi heldur einbeitti sér að uppsetningarforritum og dulbúi sig innan. Þessi spilliforrit hefur verið uppfærð reglulega með nýrri afbrigðum sem finnast um allan heim sem miða einnig á M1 flís Apple tækin.

Mynd: Trend Micro

Hvernig virkar XCSSET malware?

Trend Micro lýsir virkni spilliforritsins á tölvu fórnarlambsins sem tveimur núlldögum. Fyrsti dagurinn er að hakka sig inn í Safari vafrann og fá allar vafrakökur með því að tölvuþrjóturinn getur fengið aðgang að öllum netreikningum notandans. Annar núlldagurinn er notaður til að setja upp þróunarútgáfu af Safari vafranum sem gerir tölvuþrjótunum kleift að stjórna aðgangi á hvaða vefsíðu sem er. Hins vegar hefur Jamf uppgötvað að það var til þriðji núlldagur sem gerði árásarmanninum kleift að taka skjáskot af skjá notandans án þess að hann vissi af því.

Mynd: Apple

Jamf rannsakendur Jaron Bradley, Ferdous Saljooki og Stuart Ashenbrenner hafa útskýrt frekar að þessi spilliforrit leiti að þegar uppsettum forritum á tölvu fórnarlambsins sem hafa heimildir til að deila skjánum . Þegar búið er að bera kennsl á þetta sprautar þetta spilliforrit skjáupptökukóða inn í þessi öpp sem virka síðan sem ferðalag. Vinsælustu forritin eru Zoom, Slack og WhatsApp sem deila óafvitandi heimildum sínum á macOS með þessum spilliforritum. XCSSET spilliforritið skrifar einnig undir nýtt forritabúntvottorð sem hjálpar því að forðast að verða merkt af macOS öryggi.

Mynd: Google

Í fullkominni atburðarás er macOS hannað til að fá leyfi frá notandanum áður en það veitir aðgang og réttindi að einhverju forriti. Þetta felur í sér að taka upp skjáinn, nota vefmyndavélarhljóðnemann og geymsla. Samt sem áður gat þessi spilliforrit sniðgengið þessar heimildir þar sem hann notaði hugmyndafræðina um að vonast eftir far til að komast út úr ratsjánni með lögmætum hugbúnaði.

Að lokum greindi Jamf einnig frá því að þrátt fyrir að niðurstöður þeirra innihéldu þá staðreynd að spilliforritið var að taka skjáskot af skjáborði fórnarlambsins, þá væri hægt að forrita það til mun meira en það. Þessi spilliforrit getur fengið aðgang að vefmyndavél notandans, hljóðnema, lyklaborðsslögum og fanga öll persónuleg gögn notandans.

Apple hefur staðfest að nýjasta uppfærslan þeirra muni laga þessa villu í macOS 11.4 sem hefur þegar byrjað að birtast til notenda