MacOS-malware udnytter nuldags-sårbarhed til at tage hemmelige screenshots

Illustration: arkiv
Med ondsindet kode injiceret i apps som Zoom og Slack har XCSSET-malware udnyttet en nuldags-sårbarhed i macOS til at få adgang til offerets skærmbillede.

Hackere har med XCSSET-malwaren udnyttet en nuldags-sårbarhed til i al hemmelighed at tage screenshots af et offers skrivebord.

Sårbarheden har også gjort det muligt at få uautoriseret adgang andre dele af macOS, der eller kræver tilladelse, såsom mikrofon, skærmoptagelse og webcam.

Det advarer en række Mac-sikkerhedseksperter fra virksomheden Jamf om i et blogindlæg.

Her gives en detaljeret forklaring på, hvordan den ondsindede kode udnytter nuldagssårbarheden CVE-2021-30713 til at bypasse de rettigheds-dialogbokse, som en Mac-bruger som standard skal tage stilling til.

»Optagelsesteamet bemærkede, at så snart XCSSET var installeret på offerets system, så blev dette bypass brugt specifikt med det formål at tage skærmbilleder af brugerens skrivebord uden at kræve yderligere tilladelse,« skriver sikkerhedseksperterne.

MacOS kræver tilladelse fra brugeren, før en app – om den er ondsindet eller ej – kan få tilladelse til eksempelvis at optage skærmen, men XCSSET-malwaren bypasser den del ved at snige ondsindet kode ind i legitime apps, fremgår det.

Læs også: Apple-chef: Mængden af Mac-malware er uacceptabel

Stjæler rettigheder

Ifølge Jamf-sikkerhedseksperterne leder malwaren efter apps på et offers computer, som jævnligt får adgang af brugeren til at dele skærmen, såsom Zoom, WhatsApp og Slack, og injicerer ondsindet kode i de apps.

Dette gør det muligt for den ondsindede kode at nedarve den legitime apps rettigheder på tværs af macOS. Derefter underskriver malwaren en ny app-pakke med et nyt certifikat for at undgå at blive opdaget af macOS' indbyggede sikkerhed, og så der ikke dukker en meddelelse op på offerets skærm om at give adgang til eksempelvis at tage screenshots af skærmen.

Malwaren har ifølge sikkerhedseksperterne brugt dette rettigheds-bypass »specifikt med det formål at tage skærmbilleder af brugerens skrivebord«, men de advarer om, at sårbarheden også kan have været brugt til at få adgang til et offers mikrofon, webkamera eller til at opfange keyboard-indtastninger af eksempelvis adgangskoder og kreditkortnumre.

»Den pågældende sårbarhed har gjort det muligt for en hacker at få fuld diskadgang, skærmoptagelse eller andre tilladelser uden at kræve brugerens udtrykkelige samtykke - hvilket er standarden,« skriver sikkerhedseksperterne fra Jamf i blogindlægget.

Det vides ikke, hvor udbredt malwaren er, men Apple har til nyhedsmediet TechCrunch fortalt, at nuldags-sårbarheden (CVE-2021-30713) er lukket i macOS 11.4, som blev lagt ud i denne uge.

Læs også: 30.000 Mac-computere inficeret med mystisk malware

Opdaget i 2020

XCSSET-malwaren blev først opdaget af Trend Micro i 2020, da den blev brugt til at angribe Apple-udvikleres Xcode-projekter, som bruges til at kode og bygge apps. Ved at inficere apps videredistribuerede udviklerne derfor malwaren til deres brugere.

Sikkerhedseksperter fra Trend Micro beskriver XCSSET-malwaren, som konstant er under udvikling og med flere forskellige variationer i den senere tid, som et supply-chain-lignende angreb.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere