惡意軟件利用零日漏洞捕獲Mac上的屏幕截圖

安全研究人員發現，自2020年以來一直存在的惡意軟件現在正在濫用MacOS中的零日漏洞，以控制MacOS系統的媒體記錄功能。

有問題的惡意軟件名為XCSSET，大約一年前由與趨勢科技合作的研究人員首次發現。 XCSSET惡意軟件背後的開發人員最初以Xcode開發人員為目標，並設法建立了供應鏈攻擊媒介，合法開發人員有時不知不覺地分發已經感染了XCSSET的應用程序。

開發XCSSET的不良行為者正在不斷更新和改善惡意軟件的功能，最近在運行Apple新型M1 SoC的系統上感染XCSSET就是明顯的證明。

一旦部署到受害人的系統上，XCSSET便能夠洩漏瀏覽器Cookie，並在此過程中竊取登錄憑據。該惡意軟件還可以靜默安裝Safari的開發中修改版本，從而使運行XCSSET的不良行為者可以毫無問題地窺探用戶。這兩種惡意功能都利用了零日漏洞。

XCSSET中添加的最新功能包括對受感染系統屏幕上顯示的內容進行截圖。這是通過利用另一個零日漏洞實現的。蘋果已經通過2021年5月下旬發布的補丁修復了該漏洞。

為了靜默捕獲並傳輸受害者顯示的屏幕截圖，XCSSET的行為與過去非常相似。該惡意軟件會將惡意代碼注入合法應用程序，並以此方式繞過在用戶系統上錄製媒體的嚴格MacOS安全設置。即使MacOS會在錄製音頻，視頻或從系統抓屏之前要求獲得明確的許可，但零日允許XCSSET繞過此要求用戶輸入的確認。

XCSSET通常會濫用用於視頻通話的消息傳遞應用程序，這些應用程序在日常使用中始終會獲得屏幕共享權限。這些包括諸如Slack，WhatsApp和Zoom之類的應用程序。由惡意軟件注入的惡意代碼將濫用賦予普通應用程序的合法特權，並在系統範圍內繼承它們。

一旦完成，XCSSET還將對新創建的應用程序捆綁包應用新證書，以避免觸發MacOS內置防禦機制，從而阻止未簽名代碼的執行。

即使XCSSET特別使用了現在修復的零日漏洞來捕獲屏幕截圖，該漏洞也有可能被用於錄製音頻和視頻。擊鍵日誌記錄也可能被利用，而擊鍵日誌記錄不僅與竊取密碼有關，而且與竊取銀行和信用卡信息有內在的聯繫。