Обнаружено вредоносное ПО Xcsset, которое может делать скриншоты на Mac без разрешения

Jamf — компания, занимающаяся разработкой программного обеспечения, которая предоставляет решения для управления Mac и разрабатывает приложения для iOS и macOS. Эта фирма сделала шокирующее открытие уязвимости в компьютерах macOS, которая позволяет вредоносному ПО XCSSET без ограничений получать доступ к тем частям операционной системы, которые обычно требуют разрешения. Доступные функции включают микрофон, веб-камеру и запись экрана без разрешения.

ДжамфКредиты изображений: Jamf

Вредоносное ПО XCSSET было обнаружено службами Trend Micro Antivirus в прошлом году в 2020 году. Выяснилось, что это вредоносное ПО предназначено для разработчиков Apple и их проектов Xcode. После заражения незавершенных приложений вредоносное ПО распространялось на всех, кто использовал, кодировал или тестировал эти приложения. Компания Trend Micro назвала эту стратегию атакой на цепочку поставок, что означало, что вредоносное ПО не атаковало конечных пользователей на начальном этапе, а скорее сосредоточилось на установщиках приложений и замаскировалось внутри. Это вредоносное ПО регулярно обновляется новыми вариантами, которые обнаруживаются по всему миру и нацелены на устройства Apple с чипом M1.

Тенденция безопасностиИзображение: Trend Micro

Как работает вредоносная программа XCSSET?

Trend Micro описывает работу вредоносного ПО на компьютере жертвы как два нулевых дня. Первый день — это взломать браузер Safari и получить все файлы cookie, с помощью которых хакер может получить доступ ко всем онлайн-аккаунтам пользователя. Второй нулевой день используется для установки разрабатываемой версии браузера Safari, которая позволяет хакерам контролировать доступ к любому веб-сайту. Однако Джамф обнаружил, что существует третий нулевой день, который позволял злоумышленнику делать снимки экрана пользователя без его ведома.

M1Изображение: Apple

Исследователи Jamf Джарон Брэдли, Фердоус Салджуки и Стюарт Ашенбреннер далее объяснили, что это вредоносное ПО ищет уже установленные на компьютере жертвы приложения, у которых есть разрешения на совместное использование экрана. После идентификации это вредоносное ПО внедряет код записи экрана в эти приложения, которые затем функционируют как контрейлерная поездка. К самым популярным приложениям относятся Zoom, Slack и WhatsApp, которые неосознанно передают свои разрешения в macOS этому вредоносному ПО. Вредоносная программа XCSSET также подписывает новый сертификат пакета приложений, который помогает избежать пометки системы безопасности macOS.

заявкаИзображение: Google

В идеальном сценарии macOS предназначена для получения разрешения от пользователя, прежде чем он предоставит доступ и права любому приложению. Это включает запись экрана с использованием микрофона веб-камеры и хранилища. Однако это вредоносное ПО было способно обойти эти разрешения, поскольку оно использовало концепцию контрейлерной работы, надеясь на поездку, чтобы ускользнуть от радара с легальным программным обеспечением.

Наконец, Джамф также сообщил, что, хотя их выводы включали тот факт, что вредоносная программа снимала скриншоты рабочего стола жертвы, ее можно было запрограммировать на гораздо большее. Эта вредоносная программа может получить доступ к веб-камере, микрофону, клавишам клавиатуры и захватывать все личные данные пользователя.

Apple подтвердила, что их последнее обновление исправит эту ошибку в macOS 11.4, которая уже начала развертываться для пользователей.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *