Виявлено зловмисне програмне забезпечення Xcsset, яке може робити знімки екрана в macOS без дозволу

Jamf — це компанія з розробки програмного забезпечення, яка надає рішення для керування Mac і розробляє програми для iOS і macOS. Ця компанія зробила шокуюче відкриття про вразливість комп’ютерів macOS, яка дозволяє зловмисному програмному забезпеченню XCSSET без обмежень отримати доступ до тих частин операційної системи, які зазвичай потребують дозволу. Доступні функції включають мікрофон, веб-камеру та запис екрану без дозволу.

Автори зображень: Jamf

Зловмисне програмне забезпечення XCSSET було виявлено антивірусними службами Trend Micro минулого року в 2020 році. З’ясувалося, що це зловмисне програмне забезпечення націлено на розробників Apple та їхні проекти Xcode. Після зараження незавершених програм зловмисне програмне забезпечення пошириться на всіх тих, хто використовує, кодує або тестує ці програми. Trend Micro описав цю стратегію як атаку ланцюга постачання, що означало, що зловмисне програмне забезпечення не атакувало кінцевих користувачів на початковій фазі, а зосередилося на установниках додатків і замаскувалося всередині. Це зловмисне програмне забезпечення регулярно оновлюється новими варіантами, знайденими по всьому світу, також націленими на пристрої Apple з чіпом M1 .

Зображення: Trend Micro

Як працює зловмисне програмне забезпечення XCSSET?

Trend Micro описує функціонування зловмисного програмного забезпечення на комп’ютері жертви як два нуль дні. Перший день – зламати браузер Safari і отримати всі файли cookie, за допомогою яких хакер може отримати доступ до всіх онлайн-рахунків користувача. Другий нульовий день використовується для встановлення версії для розробки браузера Safari, яка дозволяє хакерам контролювати доступ до будь-якого веб-сайту. Однак Джамф виявив, що існував третій нульовий день, який дозволяв зловмиснику робити скріншоти екрана користувача, не знаючи про це.

Зображення: Apple

Дослідники Jamf Джарон Бредлі, Фердоус Салджоокі та Стюарт Ашенбреннер далі пояснили, що це шкідливе програмне забезпечення шукає вже встановлені програми на комп’ютері жертви, які мають дозвіл на доступ до екрана . Після виявлення це зловмисне програмне забезпечення вводить код запису екрана в ці програми, які потім функціонують як контрейлерна поїздка. Найпопулярніші програми включають Zoom, Slack і WhatsApp, які несвідомо діляться своїми дозволами на macOS з цим шкідливим програмним забезпеченням. Зловмисне програмне забезпечення XCSSET також підписує новий сертифікат пакета програм, який допомагає йому уникнути позначення системою безпеки macOS.

Зображення: Google

В ідеальному сценарії macOS розроблено для отримання дозволу від користувача, перш ніж він надає доступ і права будь-якій програмі. Це включає запис екрану, використання мікрофона веб-камери та зберігання. Однак це зловмисне програмне забезпечення могло обійти ці дозволи, оскільки використовувало контрейлерну концепцію, яка сподівалася на те, щоб уникнути радара за допомогою законного програмного забезпечення.

Нарешті, Jamf також повідомив, що, хоча їхні висновки включали той факт, що зловмисне програмне забезпечення фіксувало скріншоти робочого столу жертви, його можна було запрограмувати на набагато більше, ніж це. Це зловмисне програмне забезпечення може отримати доступ до веб-камери, мікрофона, натискань клавіатури користувача та захопити всі особисті дані користувача.

Apple підтвердила, що їхнє останнє оновлення виправить цю помилку в macOS 11.4, яка вже почала розгортатися для користувачів