Zistil sa malvér Xcsset, ktorý dokáže vytvárať snímky obrazovky v systéme macOS bez povolenia

Jamf je spoločnosť zaoberajúca sa vývojom softvéru, ktorá poskytuje riešenia na správu počítačov Mac a vyvíja aplikácie pre systémy iOS a macOS. Táto firma šokujúco objavila zraniteľnosť v počítačoch macOS, ktorá umožňuje malvéru XCSSET pristupovať bez obmedzení k tým častiam operačného systému, ktoré zvyčajne vyžadujú povolenie. Medzi dostupné funkcie patrí mikrofón, webová kamera a nahrávanie obrazovky bez povolenia.

Obrazové kredity: Jamf

Malvér XCSSET objavili služby Trend Micro Antivirus minulý rok v roku 2020. Zistilo sa, že tento malvér cielil na vývojárov Apple a ich Xcode projekty. Po infikovaní neúplných aplikácií by sa malvér rozšíril na všetkých, ktorí tieto aplikácie používajú, kódujú alebo testujú. Trend Micro opísal túto stratégiu ako Supply Chain Attack, čo znamenalo, že malvér v počiatočnej fáze nezaútočil na koncových používateľov, ale skôr sa zameral na inštalátorov aplikácií a zamaskoval sa v nich. Tento malvér bol pravidelne aktualizovaný o novšie varianty nájdené po celom svete, ktoré sa zameriavajú aj na zariadenia Apple s čipom M1 .

Obrázok: Trend Micro

Ako funguje malvér XCSSET?

Trend Micro popisuje fungovanie malvéru na počítači obete ako dva nula dní. Prvý deň je nabúranie sa do prehliadača Safari a získanie všetkých cookies, pomocou ktorých má hacker prístup ku všetkým online účtom používateľa. Druhý zero-day sa používa na inštaláciu vývojovej verzie prehliadača Safari, ktorá umožňuje hackerom kontrolovať prístup na ľubovoľnú webovú stránku. Jamf však zistil, že existuje tretí zero-day, ktorý útočníkovi umožnil urobiť snímky obrazovky používateľa bez toho, aby o tom vedel.

Obrázok: Jablko

Výskumníci Jamf Jaron Bradley, Ferdous Saljooki a Stuart Ashenbrenner ďalej vysvetlili, že tento malvér hľadá už nainštalované aplikácie v počítači obete, ktoré majú povolenia na zdieľanie obrazovky . Po identifikácii tento malvér vloží kód na nahrávanie obrazovky do týchto aplikácií, ktoré potom fungujú ako jazda na chrbte. Medzi najobľúbenejšie aplikácie patria Zoom, Slack a WhatsApp, ktoré nevedomky zdieľajú svoje povolenia v systéme macOS s týmto malvérom. Malvér XCSSET tiež podpisuje nový certifikát balíka aplikácií, ktorý mu pomáha vyhnúť sa označeniu zabezpečením systému macOS.

Obrázok: Google

V ideálnom prípade je macOS navrhnutý tak, aby získal povolenie od používateľa predtým, ako udelí prístup a práva akejkoľvek aplikácii. To zahŕňa nahrávanie obrazovky, používanie mikrofónu webovej kamery a úložiska. Tento malvér však dokázal tieto oprávnenia obísť, pretože využíval koncepciu nasadzovania nádeje na jazdu, aby unikol radaru s legitímnym softvérom.

Nakoniec spoločnosť Jamf tiež uviedla, že hoci ich zistenia zahŕňali skutočnosť, že malvér zachytával snímky pracovnej plochy obete, mohol byť naprogramovaný na oveľa viac. Tento malvér môže získať prístup k webovej kamere používateľa, mikrofónu, klávesom a zachytiť všetky osobné údaje používateľa.

Apple potvrdil, že ich najnovšia aktualizácia opraví túto chybu v systéme macOS 11.4, ktorý sa už začal sprístupňovať používateľom