Откривен злонамерни софтвер Ксцссет који може да прави снимке екрана на мацОС-у без дозволе

Јамф је фирма за развој софтвера која обезбеђује решења за управљање Мац рачунарима и развија апликације за иОС и мацОС. Ова фирма је направила шокантно откриће рањивости у мацОС рачунарима која може дозволити злонамерном софтверу КСЦССЕТ да приступи, без ограничења, оним деловима оперативног система који обично захтевају дозволу. Доступне функције укључују микрофон, веб камеру и снимање екрана без дозволе.

Заслуге за слике: Јамф

Малвер КСЦССЕТ је откривен од стране Тренд Мицро Антивирус сервиса прошле године 2020. године. Откривено је да је овај малвер циљао Аппле Девелоперс и њихове Ксцоде пројекте. Једном када су некомплетне апликације заражене, малвер би се проширио на све оне који користе, кодирају или тестирају ове апликације. Тренд Мицро је ову стратегију описао као напад на ланац снабдевања, што је значило да злонамерни софтвер није напао крајње кориснике у почетној фази, већ се фокусирао на инсталатере апликација и прикрио се унутра. Овај злонамерни софтвер се редовно ажурира са новијим варијантама које се налазе широм света које циљају и на Аппле уређаје са М1 чипом .

Слика: Тренд Мицро

Како функционише КСЦССЕТ малвер?

Тренд Мицро описује функционисање малвера на рачунару жртве као два нула дана. Први дан је да хакујете Сафари претраживач и добијете све колачиће помоћу којих хакер може да приступи свим онлајн налозима корисника. Други нулти дан се користи за инсталирање развојне верзије претраживача Сафари која омогућава хакерима да контролишу приступ било којој веб локацији. Међутим, Јамф је открио да је постојао трећи нулти дан који је омогућио нападачу да направи снимке екрана корисника, а да он/она не зна за то.

Слика: Аппле

Јамф истраживачи Јарон Брадлеи, Фердоус Саљооки и Стуарт Асхенбреннер су даље објаснили да овај малвер тражи већ инсталиране апликације на рачунару жртве које имају дозволе за дељење екрана . Када се једном идентификује, овај злонамерни софтвер убризгава код за снимање екрана у те апликације који затим функционише као повратна вожња. Најпопуларније апликације укључују Зоом, Слацк и ВхатсАпп које несвесно деле своје дозволе на мацОС-у са овим малвером. Злонамерни софтвер КСЦССЕТ такође потписује нови сертификат пакета апликација који му помаже да избегне да га мацОС безбедност означи.

Слика: Гоогле

У идеалном сценарију, мацОС је дизајниран да добије дозволу од корисника пре него што одобри приступ и права било којој апликацији. Ово укључује снимање екрана, коришћење микрофона веб камере и складиштење. Међутим, овај злонамерни софтвер је био у стању да заобиђе те дозволе јер је користио концепт надајући се да ће моћи да побегне од радара са легитимним софтвером.

Коначно, Јамф је такође известио да, иако су њихови налази били су чињеницу да је малвер која приказује сцреенсхот од десктопа жртве, могло би се много више од тога програмиран да. Овај злонамерни софтвер може да приступи корисниковој веб камери, микрофону, потезима тастатуре и да ухвати све личне податке корисника.

Аппле је потврдио да ће њихово најновије ажурирање поправити ову грешку у мацОС-у 11.4 који је већ почео да се приказује корисницима