Téměř přesně před měsícem, Vědci odhalili Neslavná rodina malwaru zneužívala bezprecedentní chybu zabezpečení, která jí umožňovala obejít zabezpečení MacOS a nerušeně fungovat. Nyní někteří ze stejných vědců tvrdí, že další malware může infiltrovat do systémů macOS díky další zranitelnosti.
Jamf říká, že našel důkazy o tom, že malware XCSSET zneužívá zranitelnost, která mu umožňovala přístup k částem macOS, které vyžadovaly povolení – například přístup k mikrofonu, webové kameře nebo záznamu obrazovky – bez získání souhlasu.
XCSSET byl Nejprve jsem to objevil Trend Micro v roce 2020 zaměřený na vývojáře Apple, konkrétně na projekty Xcode, které používají k programování a vytváření aplikací. Infikováním těchto projektů vývoje aplikací vývojáři neúmyslně distribuují malware svým uživatelům, což výzkumníci společnosti Trend Micro označují jako „útok na dodavatelský řetězec“. Malware je neustále vyvíjen, novější varianty se také zaměřují na provozované počítače Mac Nejnovější čip M1.
Jakmile se malware spustí v počítači oběti, používá dva nulové dny – jeden ke krádeži cookies z prohlížeče Safari pro přístup k online účtům oběti a druhý k tiché instalaci vyvinuté verze Safari, která útočníkům umožňuje upravovat a zasahovat do téměř jakýkoli web.
Jamf ale říká, že malware využíval dříve neprozkoumanou nulu třetího dne, aby skryl snímky obrazovky oběti.
MacOS má požádat uživatele o povolení, než umožní jakékoli aplikaci – škodlivé nebo jiné – zaznamenat obrazovku, přistupovat k mikrofonu nebo webové kameře nebo otevřít úložiště uživatele. Malware však obchází tato oprávnění k infiltraci pod radar injekcí škodlivého kódu do legitimních aplikací.
Vysvětlili to výzkumníci společnosti Jamf Jaron Bradley, Firdaus Salguki a Stuart Echenbrenner Blogový příspěvekSdílený s TechCrunch, malware vyhledává další aplikace v počítači oběti, kterým jsou často udělena oprávnění ke sdílení obrazovky, například Zoom, WhatsApp a Slack, a do těchto aplikací vkládá škodlivý kód pro nahrávání obrazovky. To umožňuje škodlivému kódu „stáhnout“ legitimní aplikaci a zdědit její oprávnění prostřednictvím systému macOS. Poté malware podepíše nový balíček aplikace s novým certifikátem, aby se vyhnuli hlášení S integrovanou bezpečnostní ochranou macOS.
Vědci uvedli, že malware používal výslovná oprávnění „za účelem pořizování snímků obrazovky pracovní plochy uživatele“, varovali však, že se to neomezuje pouze na nahrávání obrazovky. Jinými slovy lze chybu použít k přístupu k mikrofonu nebo webové kameře oběti nebo k zachycení stisků kláves, jako jsou hesla nebo čísla kreditních karet.
Není jasné, kolik malwaru Mac se pomocí této technologie podařilo infikovat. Apple však TechCrunch ujistil, že opravil chybu v systému macOS 11.4, který byl dnes k dispozici jako aktualizace.
„Přátelský průkopník popkultury. Hodně padá. Sociální média geek. Obecný fanatik do kávy. Televizní nadšenec. Potížista.“
