MacOS-malware udnytter nuldags-sårbarhed til at tage hemmelige screenshots

MacOS-malware udnytter nuldags-sårbarhed til at tage hemmelige screenshots
Illustration: arkiv.
Med ondsindet kode injiceret i apps som Zoom og Slack har XCSSET-malware udnyttet en nuldags-sårbarhed i macOS til at få adgang til offerets skærmbillede.
26. maj 2021 kl. 10:21
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Hackere har med XCSSET-malwaren udnyttet en nuldags-sårbarhed til i al hemmelighed at tage screenshots af et offers skrivebord.

Sårbarheden har også gjort det muligt at få uautoriseret adgang andre dele af macOS, der eller kræver tilladelse, såsom mikrofon, skærmoptagelse og webcam.

Det advarer en række Mac-sikkerhedseksperter fra virksomheden Jamf om i et blogindlæg.

Her gives en detaljeret forklaring på, hvordan den ondsindede kode udnytter nuldagssårbarheden CVE-2021-30713 til at bypasse de rettigheds-dialogbokse, som en Mac-bruger som standard skal tage stilling til.

Artiklen fortsætter efter annoncen

»Optagelsesteamet bemærkede, at så snart XCSSET var installeret på offerets system, så blev dette bypass brugt specifikt med det formål at tage skærmbilleder af brugerens skrivebord uden at kræve yderligere tilladelse,« skriver sikkerhedseksperterne.

MacOS kræver tilladelse fra brugeren, før en app – om den er ondsindet eller ej – kan få tilladelse til eksempelvis at optage skærmen, men XCSSET-malwaren bypasser den del ved at snige ondsindet kode ind i legitime apps, fremgår det.

Stjæler rettigheder

Ifølge Jamf-sikkerhedseksperterne leder malwaren efter apps på et offers computer, som jævnligt får adgang af brugeren til at dele skærmen, såsom Zoom, WhatsApp og Slack, og injicerer ondsindet kode i de apps.

Dette gør det muligt for den ondsindede kode at nedarve den legitime apps rettigheder på tværs af macOS. Derefter underskriver malwaren en ny app-pakke med et nyt certifikat for at undgå at blive opdaget af macOS' indbyggede sikkerhed, og så der ikke dukker en meddelelse op på offerets skærm om at give adgang til eksempelvis at tage screenshots af skærmen.

Artiklen fortsætter efter annoncen

Malwaren har ifølge sikkerhedseksperterne brugt dette rettigheds-bypass »specifikt med det formål at tage skærmbilleder af brugerens skrivebord«, men de advarer om, at sårbarheden også kan have været brugt til at få adgang til et offers mikrofon, webkamera eller til at opfange keyboard-indtastninger af eksempelvis adgangskoder og kreditkortnumre.

»Den pågældende sårbarhed har gjort det muligt for en hacker at få fuld diskadgang, skærmoptagelse eller andre tilladelser uden at kræve brugerens udtrykkelige samtykke - hvilket er standarden,« skriver sikkerhedseksperterne fra Jamf i blogindlægget.

Det vides ikke, hvor udbredt malwaren er, men Apple har til nyhedsmediet TechCrunch fortalt, at nuldags-sårbarheden (CVE-2021-30713) er lukket i macOS 11.4, som blev lagt ud i denne uge.

Opdaget i 2020

XCSSET-malwaren blev først opdaget af Trend Micro i 2020, da den blev brugt til at angribe Apple-udvikleres Xcode-projekter, som bruges til at kode og bygge apps. Ved at inficere apps videredistribuerede udviklerne derfor malwaren til deres brugere.

Sikkerhedseksperter fra Trend Micro beskriver XCSSET-malwaren, som konstant er under udvikling og med flere forskellige variationer i den senere tid, som et supply-chain-lignende angreb.

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger