Malware Xcsset entdeckt, die ohne Erlaubnis Screenshots auf Macos machen kann

Jamf ist ein Softwareentwicklungsunternehmen, das Mac-Verwaltungslösungen anbietet und Anwendungen für iOS und macOS entwickelt. Diese Firma hat eine schockierende Entdeckung einer Schwachstelle in macOS-Computern gemacht, die es der XCSSET-Malware ermöglichen kann, ohne Einschränkungen auf die Teile des Betriebssystems zuzugreifen, für die normalerweise eine Erlaubnis erforderlich ist. Zu den zugänglichen Funktionen gehören ein Mikrofon, eine Webcam und die Aufnahme des Bildschirms ohne Erlaubnis.

JamfBildnachweis: Jamf

Die XCSSET-Malware wurde letztes Jahr im Jahr 2020 von Trend Micro Antivirus-Diensten entdeckt. Es wurde festgestellt, dass diese Malware auf Apple-Entwickler und deren Xcode-Projekte abzielte. Sobald die unvollständigen Apps infiziert waren, breitete sich die Malware auf alle aus, die diese Apps verwenden, codieren oder testen. Trend Micro bezeichnete diese Strategie als Supply Chain Attack, was bedeutete, dass die Malware in der Anfangsphase nicht die Endbenutzer angreift, sondern sich auf App-Installer konzentriert und sich darin tarnt. Diese Malware wurde regelmäßig mit neueren Varianten auf der ganzen Welt aktualisiert, die auch auf die M1-Chip-Apple-Geräte abzielen.

TrendsicherheitBild: Trend Micro

Wie funktioniert die XCSSET-Malware?

Trend Micro beschreibt das Funktionieren der Malware auf dem Computer des Opfers als zwei null Tage. Der erste Tag besteht darin, sich in den Safari-Browser zu hacken und alle Cookies zu erhalten, mit denen der Hacker auf alle Online-Konten des Benutzers zugreifen kann. Der zweite Zero-Day wird verwendet, um eine Entwicklungsversion des Safari-Browsers zu installieren, die es den Hackern ermöglicht, den Zugriff auf jede Website zu kontrollieren. Jamf hat jedoch herausgefunden, dass es einen dritten Zero-Day gab, der es dem Angreifer ermöglichte, Screenshots vom Bildschirm des Benutzers zu machen, ohne dass er/sie davon wusste.

M1Bild: Apfel

Die Jamf-Forscher Jaron Bradley, Ferdous Saljooki und Stuart Ashenbrenner haben weiter erklärt, dass diese Malware nach bereits installierten Anwendungen auf dem Computer des Opfers sucht, die über Berechtigungen für die Bildschirmfreigabe verfügen. Sobald diese Malware identifiziert wurde, injiziert diese Malware Bildschirmaufzeichnungscode in diese Apps, der dann als Huckepack-Fahrt fungiert. Zu den beliebtesten Apps gehören Zoom, Slack und WhatsApp, die unwissentlich ihre Berechtigungen auf macOS mit dieser Malware teilen. Die XCSSET-Malware signiert auch ein neues App-Bundle-Zertifikat, das hilft, eine Kennzeichnung durch die macOS-Sicherheit zu vermeiden.

AnwendungBild: Google

Im Idealfall ist macOS so konzipiert, dass es die Erlaubnis des Benutzers einholt, bevor es Zugriff und Rechte für eine Anwendung gewährt. Dies umfasst die Aufnahme des Bildschirms, die Verwendung des Webcam-Mikrofons und die Speicherung. Diese Malware war jedoch in der Lage, diese Berechtigungen zu umgehen, da sie das Huckepack-Konzept nutzte, um mit legitimer Software dem Radar zu entkommen.

Schließlich berichtete Jamf auch, dass die Malware zwar Screenshots vom Desktop des Opfers aufnahm, aber auf weit mehr programmiert werden könnte. Diese Malware kann auf die Webcam, das Mikrofon und die Tastatureingaben des Benutzers zugreifen und alle persönlichen Daten des Benutzers erfassen.

Apple hat bestätigt, dass sein neuestes Update diesen Fehler in macOS 11.4 behebt, der bereits mit dem Rollout für Benutzer begonnen hat

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *