Το κακόβουλο λογισμικό εκμεταλλεύεται το θέμα ευπάθειας μηδενικής ημέρας για τη λήψη στιγμιότυπων οθόνης σε Mac

Οι ερευνητές ασφαλείας ανακάλυψαν ότι ένα κακόβουλο λογισμικό που υπάρχει από το 2020 τώρα κάνει κατάχρηση ευπάθειας μηδενικής ημέρας στο MacOS για να πάρει τον έλεγχο των δυνατοτήτων εγγραφής πολυμέσων των συστημάτων MacOS.

Το εν λόγω κακόβουλο λογισμικό ονομάζεται XCSSET και ανακαλύφθηκε για πρώτη φορά από ερευνητές που συνεργάστηκαν με την Trend Micro περίπου πριν από ένα χρόνο. Οι προγραμματιστές πίσω από το κακόβουλο λογισμικό XCSSET στοχεύουν αρχικά τους προγραμματιστές Xcode και κατάφεραν να δημιουργήσουν έναν φορέα επίθεσης αλυσίδας εφοδιασμού, με νόμιμους προγραμματιστές μερικές φορές να διανέμουν εφαρμογές που έχουν ήδη μολυνθεί με XCSSET χωρίς να το γνωρίζουν.

Οι κακοί ηθοποιοί που αναπτύσσουν το XCSSET ενημερώνουν συνεχώς και βελτιώνουν τις δυνατότητες του κακόβουλου λογισμικού, κάτι που φαίνεται από τις πρόσφατες μολύνσεις με το XCSSET σε συστήματα που χρησιμοποιούν το νέο M1 SoC της Apple.

Μόλις αναπτυχθεί στο σύστημα ενός θύματος, το XCSSET έχει τη δυνατότητα να απομακρύνει τα cookie του προγράμματος περιήγησης, κλέβοντας διαπιστευτήρια σύνδεσης κατά τη διαδικασία. Το κακόβουλο λογισμικό μπορεί επίσης να εγκαταστήσει σιωπηλά μια τροποποιημένη έκδοση του Safari σε εξέλιξη, η οποία επιτρέπει στους κακούς παράγοντες που εκτελούν το XCSSET να παρακολουθούν τον χρήστη χωρίς προβλήματα. Και οι δύο αυτές κακόβουλες δυνατότητες εκμεταλλεύτηκαν ευπάθειες μηδενικής ημέρας.

Η πιο πρόσφατη δυνατότητα που προστέθηκε στο XCSSET περιλαμβάνει λήψη στιγμιότυπων οθόνης όσων εμφανίζονται στην οθόνη του μολυσμένου συστήματος. Αυτό επιτυγχάνεται αξιοποιώντας ακόμη μια ευπάθεια μηδενικής ημέρας. Η Apple έχει ήδη διορθώσει αυτήν την ευπάθεια με ένα patch που κυκλοφόρησε στα τέλη Μαΐου 2021.

Για να τραβήξει και να μεταδώσει σιωπηλά στιγμιότυπα οθόνης της οθόνης του θύματος, το XCSSET έπαιζε πολύ όπως στο παρελθόν. Το κακόβουλο λογισμικό εισάγει κακόβουλο κώδικα σε νόμιμες εφαρμογές και με αυτόν τον τρόπο παρακάμπτει τις αυστηρές ρυθμίσεις ασφαλείας MacOS όταν πρόκειται για εγγραφή πολυμέσων στο σύστημα του χρήστη. Παρόλο που το MacOS θα ζητούσε ρητή άδεια πριν από την εγγραφή ήχου, βίντεο ή λήψης οθόνης από το σύστημα, η μηδενική ημέρα επέτρεψε στο XCSSET να παρακάμψει αυτήν την επιβεβαίωση που απαιτεί εισαγωγή χρήστη.

Το XCSSET συνήθως κακοποιεί εφαρμογές ανταλλαγής μηνυμάτων που χρησιμοποιούνται για βιντεοκλήσεις, στις οποίες παρέχονται δικαιώματα κοινής χρήσης οθόνης όλη την ώρα στην καθημερινή τους χρήση. Αυτές περιλαμβάνουν εφαρμογές όπως το Slack, το WhatsApp και το Zoom. Ο κακόβουλος κώδικας που εισάγεται από το κακόβουλο λογισμικό θα καταχραστεί τα νόμιμα προνόμια που δίνονται στις κανονικές εφαρμογές και θα τα κληρονομήσει σε επίπεδο συστήματος.

Μόλις επιτευχθεί αυτό, το XCSSET θα εφαρμόσει επίσης ένα νέο πιστοποιητικό στο πακέτο εφαρμογών που δημιουργήθηκε πρόσφατα, προκειμένου να αποφευχθεί η ενεργοποίηση των ενσωματωμένων αμυντικών μηχανισμών MacOS, αποτρέποντας την εκτέλεση κώδικα χωρίς υπογραφή.

Παρόλο που το XCSSET χρησιμοποίησε ειδικά την ευπάθεια μηδενικής ημέρας που έχει επιδιορθωθεί για να τραβήξει στιγμιότυπα οθόνης, το παραθυράκι θα μπορούσε ενδεχομένως να χρησιμοποιηθεί και για την εγγραφή ήχου και βίντεο. Η καταγραφή Keystroke, η οποία συνδέεται εγγενώς με την κλοπή όχι μόνο κωδικών πρόσβασης, αλλά και τραπεζικών και πιστωτικών καρτών, ήταν επίσης δυνητικά εκμεταλλεύσιμη.