Aktywnie wykorzystywany exploit 0day pozwala hakerom podejrzeć Twój ekran.
XCSSET stale groźny
Cyberprzestępcy wykorzystują obecnie lukę obecną nawet w najbardziej zaktualizowanych wersjach systemu macOS. Zeroday exploit pozwala na wykonywanie zrzutów ekranu i został wykorzystany między innymi przez XCSSET. Jest to szkodliwe oprogramowanie wykryte przez firmę Trend Micro jeszcze w sierpniu zeszłego roku. XCSSET kradł pliki cookie i pliki przeglądarki; wstrzykiwał backdoory do stron internetowych; wyciągał informacje ze Skype'a, Telegrama i innych zainstalowanych aplikacji; robił zrzuty ekranu i szyfrował pliki a w końcu żądał okupu. Wykorzystywał do swojego działania dwa istniejące wówczas „zerodeje”.
Trzeci exploit
Infekcje odbywały się poprzez szereg złośliwych projektów, które atakujący napisali dla Xcode. Xcode to narzędzie, które Apple udostępnia bezpłatnie programistom piszącym aplikacje na macOS lub inne systemy Apple. Zdaniem TrendMicro, jeżeli choćby tylko jeden z projektów XCSSET zostanie otwarty i zbudowany, złośliwy kod zacznie działać na komputerach Mac programistów. Projekt Xcode to zbiór wszystkich plików, zasobów i informacji potrzebnych do zbudowania aplikacji.
Dlaczego ten temat ponownie stał się aktualny? W marcu eksperci z SentinelOne odkryli nową bibliotekę kodu zawierającą trojan. W poniedziałek badacze z Jamf, dostawcy zabezpieczeń dla użytkowników korporacyjnych Apple, oświadczyli, że XCSSET wykorzystuje nowy zeroday, który jeszcze do niedawna pozostawał niewykryty. Luka znajdowała się w Transparency Consent and Control framework, który to moduł wymaga wyraźnej zgody użytkownika zanim zainstalowana aplikacja będzie mogła uzyskać uprawnienia systemowe do dostępu do dysku twardego, mikrofonu, kamery i innych zasobów wrażliwych ze względu na prywatność i bezpieczeństwo.
XCSSET wykorzystywał tę lukę, aby ominąć zabezpieczenia TCC i robić zrzuty ekranu bez konieczności uzyskiwania zgody użytkownika. Apple naprawił CVE-2021-30713 (w miarę śledzenia luki) w poniedziałek wraz z wydaniem macOS 11.4. Chodziło o błąd, który pozwolił XCSSET na ukrycie się w katalogu zainstalowanej aplikacji, która miała już uprawnienia do robienia zrzutów ekranu. Eksploit umożliwił szkodliwemu oprogramowaniu odziedziczenie uprawnień do zrzutu ekranu, a także innych uprawnień kontrolowanych przez TCC.
Pasożyt szuka żywiciela
Niektórzy programiści projektują aplikacje, w których znajdują się mniejsze aplikacje - powiedział w wywiadzie Jaron Bradley z Jamf. Wydaje się, że w logice systemu operacyjnego istniał błąd, jeśli chodzi o sposób obsługi uprawnień TCC w takiej sytuacji. Aby zlokalizować aplikacje, z wykorzystaniem których XCSSET może się połączyć, złośliwe oprogramowanie sprawdzało uprawnienia do przechwytywania ekranu na liście zainstalowanych aplikacji. Bradley wyjaśnił to następująco:Przedmiotem zainteresowania były aplikacje, którym użytkownicy regularnie przyznają uprawnienia do udostępniania ekranu w ramach normalnego działania. Następnie złośliwe oprogramowanie używa polecenia mdfind (wersja Spotlight do używania w wierszu poleceń) aby sprawdzić, czy na urządzeniu ofiary są zainstalowane identyfikatory takiej aplikacji.
Teraz, gdy Apple naprawiło lukę, TCC działa prawidłowo, wyświetlając komunikat w oknie dialogowym, który zachęca użytkowników do otwarcia preferencji systemowych w celu zezwolenia na aplikację lub po prostu kliknięcia przycisku odmowy wyświetlanego w wyskakującym okienku. XCSSET stracił możliwość robienia screenshotów – a przynajmniej bez zgody użytkowników.
XCSSET prawdopodobnie nie infekuje komputerów Mac „na ślepo”, konieczne jest uruchomienie złośliwego projektu Xcode. Oznacza to, że jest mało prawdopodobne, aby został zainfekowany inny użytkownik Maca niż programista.