Il y a presque exactement un mois, Les chercheurs ont révélé La tristement célèbre famille de logiciels malveillants exploitait une vulnérabilité sans précédent qui lui permettait de contourner les défenses de sécurité macOS et de fonctionner sans entrave. Maintenant, certains des mêmes chercheurs affirment que d’autres logiciels malveillants peuvent infiltrer les systèmes macOS, grâce à une autre vulnérabilité.
Jamf dit avoir trouvé des preuves que le malware XCSSET exploitait une vulnérabilité qui lui permettait d’accéder à des parties de macOS nécessitant une autorisation – comme l’accès à un microphone, une webcam ou un enregistrement d’écran – sans jamais obtenir l’approbation.
XCSSET était Je l’ai découvert en premier Trend Micro en 2020 ciblant les développeurs Apple, en particulier les projets Xcode qu’ils utilisent pour programmer et créer des applications. En infectant ces projets de développement d’applications, les développeurs distribuent involontairement des logiciels malveillants à leurs utilisateurs, ce que les chercheurs de Trend Micro décrivent comme une «attaque de la chaîne d’approvisionnement». Les logiciels malveillants sont en développement constant, avec des variantes plus récentes ciblant également les Mac en fonctionnement La dernière puce M1.
Une fois que le logiciel malveillant s’exécute sur l’ordinateur de la victime, il utilise deux jours zéro – l’un pour voler les cookies du navigateur Safari pour accéder aux comptes en ligne de la victime, et l’autre pour installer tranquillement une version développée de Safari, permettant aux attaquants de modifier et de s’immiscer sur presque n’importe quel site Web.
Mais Jamf dit que le logiciel malveillant profitait d’un zéro du troisième jour jusqu’alors inconnu pour capturer secrètement des captures d’écran de l’écran de la victime.
MacOS est censé demander la permission à l’utilisateur avant d’autoriser une application – malveillante ou non – à enregistrer un écran, accéder à un microphone ou une webcam, ou ouvrir le stockage d’un utilisateur. Mais le malware contourne ces autorisations pour s’infiltrer sous le radar en injectant du code malveillant dans des applications légitimes.
Jaron Bradley, Firdaus Salguki et Stuart Echenbrenner, chercheurs de Jamf, ont expliqué Article de blogPartagé avec TechCrunch, le logiciel malveillant recherche d’autres applications sur l’ordinateur de la victime qui reçoivent fréquemment des autorisations de partage d’écran, telles que Zoom, WhatsApp et Slack, et injecte un code d’enregistrement d’écran malveillant dans ces applications. Cela permet au code malveillant de « télécharger » l’application légitime et d’hériter de ses autorisations via macOS. Ensuite, le logiciel malveillant signe le nouveau package d’application avec un nouveau certificat pour éviter d’être signalé Avec les défenses de sécurité intégrées de macOS.
Les chercheurs ont déclaré que le logiciel malveillant utilisait des autorisations express « dans le but de prendre des captures d’écran du bureau d’un utilisateur », mais ils ont averti que cela ne se limitait pas à l’enregistrement d’écran. En d’autres termes, le bogue peut être utilisé pour accéder au microphone ou à la webcam de la victime ou pour capturer des frappes, telles que des mots de passe ou des numéros de carte de crédit.
On ne sait pas combien de logiciels malveillants Mac ont réussi à infecter à l’aide de cette technologie. Mais Apple a assuré à TechCrunch qu’il avait corrigé le bogue de macOS 11.4, qui a été rendu disponible sous forme de mise à jour aujourd’hui.