Jamf är ett mjukvaruutvecklingsföretag som tillhandahåller Mac-hanteringslösningar och utvecklar applikationer för iOS och macOS. Detta företag har gjort en chockerande upptäckt av en sårbarhet i macOS-datorer som kan tillåta XCSSET skadlig programvara att komma åt, utan begränsningar, de delar av operativsystemet som vanligtvis kräver tillstånd. De tillgängliga funktionerna inkluderar en mikrofon, webbkamera och inspelning av skärmen utan tillstånd.
Bildkrediter: Jamf
Skadlig programvara XCSSET upptäcktes av Trend Micro Antivirus-tjänster förra året 2020. Det upptäcktes att denna skadliga programvara riktade sig till Apple-utvecklare och deras Xcode-projekt. När de ofullständiga apparna var infekterade skulle skadlig programvara spridas till alla som använder, kodar eller testar dessa appar. Trend Micro beskrev denna strategi som Supply Chain Attack, vilket innebar att skadlig programvara inte attackerade slutanvändarna i den inledande fasen utan snarare fokuserade på appinstallatörer och maskerade sig inom sig. Denna skadliga programvara har uppdaterats regelbundet med nyare varianter som hittats över hela världen och riktar sig även mot Apple-enheter med M1-chip.
Bild: Trend Micro
Hur fungerar XCSSET malware?
Trend Micro beskriver hur skadlig programvara fungerar på offrets dator som två noll dagar. Den första dagen är att hacka sig in i webbläsaren Safari och skaffa alla cookies med hjälp av vilka hackaren kan komma åt alla användarens onlinekonton. Den andra nolldagen används för att installera en utvecklingsversion av webbläsaren Safari som låter hackare kontrollera åtkomsten på vilken webbplats som helst. Jamf har dock upptäckt att det fanns en tredje nolldag som gjorde att angriparen kunde ta skärmdumpar av användarens skärm utan att han/hon visste om det.
Bild: Apple
Jamf-forskarna Jaron Bradley, Ferdous Saljooki och Stuart Ashenbrenner har vidare förklarat att denna skadliga programvara letar efter redan installerade applikationer på offrets dator som har skärmdelningsbehörigheter. När den har identifierats injicerar den här skadliga programvaran skärminspelningskod i dessa appar som sedan fungerar som en åktur. De mest populära apparna inkluderar Zoom, Slack och WhatsApp som omedvetet delar sina behörigheter på macOS med denna skadliga programvara. XCSSET skadlig programvara signerar också ett nytt app-paketcertifikat som hjälper den att undvika att bli flaggad av macOS-säkerhet.
Bild: Google
I ett idealiskt scenario är macOS utformad för att få tillstånd från användaren innan den ger åtkomst och rättigheter till någon applikation. Detta inkluderar att spela in skärmen, använda webbkameramikrofonen och lagring. Den här skadliga programvaran kunde dock kringgå dessa behörigheter eftersom den använde piggyback-konceptet att hoppas på en tur för att fly radarn med legitim programvara.
Slutligen rapporterade Jamf också att även om deras upptäckter inkluderade det faktum att skadlig programvara tog skärmdumpar av offrets skrivbord, kunde den programmeras till mycket mer än så. Denna skadliga programvara kan komma åt användarens webbkamera, mikrofon, tangentbordstryck och fånga användarens personliga data.
Apple har bekräftat att deras senaste uppdatering kommer att fixa denna bugg i macOS 11.4 som redan har börjat rullas ut till användarna
