Malware Xcsset oppdaget som kan ta skjermbilder på macOS uten tillatelse

Jamf er et programvareutviklingsfirma som leverer Mac-administrasjonsløsninger og utvikler applikasjoner for iOS og macOS. Dette firmaet har gjort en sjokkerende oppdagelse av en sårbarhet i macOS-datamaskiner som kan tillate XCSSET malware å få tilgang til, uten begrensninger, de delene av operativsystemet som vanligvis krever tillatelse. De tilgjengelige funksjonene inkluderer en mikrofon, webkamera og opptak av skjermen uten tillatelse.

Bildekreditt: Jamf

XCSSET skadevare ble oppdaget av Trend Micro Antivirus-tjenester i fjor i 2020. Det ble funnet ut at denne skadevare var rettet mot Apple-utviklere og deres Xcode-prosjekter. Når de ufullstendige appene ble infisert, ville skadelig programvare spre seg til alle som bruker, koder eller tester disse appene. Trend Micro beskrev denne strategien som Supply Chain Attack, noe som betydde at skadevaren ikke angrep sluttbrukerne i startfasen, men heller fokuserte på app-installatører og forkledde seg innenfor. Denne skadelige programvaren har blitt oppdatert regelmessig med nyere varianter funnet over hele verden, også rettet mot M1-brikken Apple-enheter.

Bilde: Trend Micro

Hvordan fungerer XCSSET malware?

Trend Micro beskriver funksjonen til skadelig programvare på offerets datamaskin som to null dager. Den første dagen er å hacke seg inn i Safari- nettleseren og få tak i alle informasjonskapslene som hackeren kan bruke til å få tilgang til alle brukerens nettkontoer. Den andre nulldagen brukes til å installere en utviklingsversjon av Safari-nettleseren som lar hackerne kontrollere tilgangen på alle nettsider. Jamf har imidlertid oppdaget at det eksisterte en tredje nulldag som gjorde at angriperen kunne ta skjermbilder av brukerens skjerm uten at han/hun visste om det.

Bilde: Apple

Jamf-forskere Jaron Bradley, Ferdous Saljooki og Stuart Ashenbrenner har videre forklart at denne skadevaren ser etter allerede installerte applikasjoner på offerets datamaskin som har skjermdelingstillatelser . Når den er identifisert, injiserer denne skadelige programvaren skjermopptakskode i appene som deretter fungerer som en piggyback-tur. De mest populære appene inkluderer Zoom, Slack og WhatsApp som ubevisst deler tillatelsene sine på macOS med denne skadelige programvaren. XCSSET malware signerer også et nytt appbundtsertifikat som hjelper det å unngå å bli flagget av macOS-sikkerhet.

Bilde: Google

I et ideelt scenario er macOS designet for å få tillatelse fra brukeren før den gir tilgang og rettigheter til en applikasjon. Dette inkluderer opptak av skjermen, bruk av webkameramikrofonen og lagring. Denne skadevare var imidlertid i stand til å omgå disse tillatelsene da den brukte piggyback-konseptet for å håpe på en tur for å unnslippe radaren med legitim programvare.

Til slutt rapporterte Jamf også at selv om funnene deres inkluderte det faktum at skadelig programvare tok skjermbilder av offerets skrivebord, kunne den programmeres til langt mer enn det. Denne skadelige programvaren kan få tilgang til brukerens webkamera, mikrofon, tastaturtrykk og fange opp alle personlige data til brukeren.

Apple har bekreftet at deres siste oppdatering vil fikse denne feilen i macOS 11.4 som allerede har begynt å rulle ut til brukere