Срочно. Новый зловред шпионил за пользователями Mac
ПО получало доступ к микрофону, камере, файлам устройства, а также могло вести запись экрана внедряясь в Zoom, WhatsApp и Slack
Новое семейство вредоносных программ, обнаруженное чуть менее месяца назад, использует ранее неизвестные уязвимости, которые позволяют обходить средства защиты MacOS.Новый зловред шпионил за пользователями Mac. Фото: Pixabay
Исследователи безопасности заявляют, что вредоносное ПО XCSSET использовало уязвимость, которая позволяла ему получать доступ к различным элементам macOS, требующим разрешения без получения этого согласия от пользователя. В их числе доступ к микрофону, веб-камере или записи экрана, сообщает TechCrunch.
Первые варианты штамма XCSSET были впервые обнаружены исследователями Trend Micro в 2020 году. Зловред ориентирован на разработчиков Apple, в частности на их проекты Xcode, которые они используют для кодирования и создания приложений.
Используя заражённые проекты, разработчики невольно распространяют вредоносное ПО среди своих пользователей. Эту схему исследователи Trend Micro назвали «атакой по типу цепочки поставок». Отмечается, что с тех пор штамм модернизируется, а его свежие версии также нацелены на Mac с новым чипом M1.
Когда вредоносная программа запускается на компьютере жертвы, она использует две уязвимости нулевого дня - одну для кражи файлов cookie из браузера Safari для получения доступа к онлайн-учётным записям жертвы, а другую для незаметной установки разрабатываемой версии Safari, позволяющей злоумышленникам изменять и просматривайте практически любой веб-сайт.
Исследователи утверждают, что вредоносная программа использовала ранее неизвестную третью уязвимость нулевого дня, чтобы скрытно делать скриншоты экрана жертвы.
Предполагается, что macOS запрашивает разрешение у пользователя, прежде чем разрешить любому приложению записывать экран, получать доступ к микрофону или веб-камере или открывать хранилище пользователя. Но вредоносная программа обошла этот запрос разрешений, внедряя вредоносный код в легитимные приложения.
Исследователи Джарон Брэдли, Фердоус Салджуки и Стюарт Ашенбреннер объяснили, что зловред ищет на компьютере жертвы другие приложения, которым часто предоставляются разрешения на совместное использование экрана, такие как Zoom, WhatsApp и Slack, и внедряет вредоносный код записи экрана в эти приложения. Это позволяет «совмещать» легитимное приложение и использовать разрешения в macOS. Затем вредоносная программа подписывает новый пакет приложений новым сертификатом, чтобы избежать пометки встроенными средствами защиты macOS.
Исследователи заявили, что вредоносная программа использовала обход запросов разрешений «специально для создания снимков экрана с рабочего стола пользователя», но предупредили, что это не ограничивается записью экрана. Другими словами, ошибка могла быть использована для доступа к микрофону, веб-камере жертвы или для записи нажатий клавиш, для перехвата паролей или номеров кредитных карт.
Неясно, сколько компьютеров Mac было заражено с помощью этого метода. Но Apple подтвердила TechCrunch, что специалисты компании исправили ошибки в версии macOS 11.4, которая была выпущена сегодня, 25 мая в виде обновления.
Комментариев пока не было