MacOS-malware udnytter nuldags-sårbarhed til at tage hemmelige screenshots
Hackere har med XCSSET-malwaren udnyttet en nuldags-sårbarhed til i al hemmelighed at tage screenshots af et offers skrivebord.
Sårbarheden har også gjort det muligt at få uautoriseret adgang andre dele af macOS, der eller kræver tilladelse, såsom mikrofon, skærmoptagelse og webcam.
Det advarer en række Mac-sikkerhedseksperter fra virksomheden Jamf om i et blogindlæg.
Her gives en detaljeret forklaring på, hvordan den ondsindede kode udnytter nuldagssårbarheden CVE-2021-30713 til at bypasse de rettigheds-dialogbokse, som en Mac-bruger som standard skal tage stilling til.
»Optagelsesteamet bemærkede, at så snart XCSSET var installeret på offerets system, så blev dette bypass brugt specifikt med det formål at tage skærmbilleder af brugerens skrivebord uden at kræve yderligere tilladelse,« skriver sikkerhedseksperterne.
MacOS kræver tilladelse fra brugeren, før en app – om den er ondsindet eller ej – kan få tilladelse til eksempelvis at optage skærmen, men XCSSET-malwaren bypasser den del ved at snige ondsindet kode ind i legitime apps, fremgår det.
Stjæler rettigheder
Ifølge Jamf-sikkerhedseksperterne leder malwaren efter apps på et offers computer, som jævnligt får adgang af brugeren til at dele skærmen, såsom Zoom, WhatsApp og Slack, og injicerer ondsindet kode i de apps.
Dette gør det muligt for den ondsindede kode at nedarve den legitime apps rettigheder på tværs af macOS. Derefter underskriver malwaren en ny app-pakke med et nyt certifikat for at undgå at blive opdaget af macOS' indbyggede sikkerhed, og så der ikke dukker en meddelelse op på offerets skærm om at give adgang til eksempelvis at tage screenshots af skærmen.
Malwaren har ifølge sikkerhedseksperterne brugt dette rettigheds-bypass »specifikt med det formål at tage skærmbilleder af brugerens skrivebord«, men de advarer om, at sårbarheden også kan have været brugt til at få adgang til et offers mikrofon, webkamera eller til at opfange keyboard-indtastninger af eksempelvis adgangskoder og kreditkortnumre.
»Den pågældende sårbarhed har gjort det muligt for en hacker at få fuld diskadgang, skærmoptagelse eller andre tilladelser uden at kræve brugerens udtrykkelige samtykke - hvilket er standarden,« skriver sikkerhedseksperterne fra Jamf i blogindlægget.
Det vides ikke, hvor udbredt malwaren er, men Apple har til nyhedsmediet TechCrunch fortalt, at nuldags-sårbarheden (CVE-2021-30713) er lukket i macOS 11.4, som blev lagt ud i denne uge.
Opdaget i 2020
XCSSET-malwaren blev først opdaget af Trend Micro i 2020, da den blev brugt til at angribe Apple-udvikleres Xcode-projekter, som bruges til at kode og bygge apps. Ved at inficere apps videredistribuerede udviklerne derfor malwaren til deres brugere.
Sikkerhedseksperter fra Trend Micro beskriver XCSSET-malwaren, som konstant er under udvikling og med flere forskellige variationer i den senere tid, som et supply-chain-lignende angreb.
