差不多1个月前,研究人员披露一只恶名昭彰的恶意软件家族正在利用一个从未见过的漏洞,让该恶意软件得以规避macOS的安全防御机制,并畅通无阻地运行。如今,同一群研究人员表示,拜另一个漏洞所赐,另一只恶意软件能潜入macOS系统。
苹果设备安全管理方案商Jamf表示,它找到证据指出,XCSSET恶意软件正在利用一个漏洞,该漏洞允许黑客访问macOS中需要权限的部分,例如未经同意就能访问麦克风、网络摄影机或录下整个屏幕画面。
XCSSET最早由趋势科技在2020年发现,它专门锁定Apple开发人员,特别是他们用来编写和构建App的Xcode项目。通过感染这些App开发项目,开发人员会无意中将恶意软件分发给用户,趋势科技研究人员将它称之为“类供应链攻击”。该恶意软件还在持续开发中,最新的变种也特别将运行新版M1芯片的Mac当作攻击目标。
一旦这只恶意软件在受害者的计算机上运行,它就会通过两个Zero-Day零时差漏洞(其中一个漏洞能从Safari浏览器中窃取Cookie,以访问受害者的线上账号,另一个漏洞则会悄悄安装开发版Safari),让攻击者几乎能修改并监听任何网站。
苹果已于25日修补漏洞
但是Jamf公司指出,这只恶意软件正在利用之前从未发现的第三个零时差漏洞,以便能偷偷地截取受害者的屏幕画面。基本上,在允许任何恶意软件或其他App录制屏幕,访问麦克风或网络摄影机,抑或打开用户存储之前,macOS都应该会先征求用户的许可才对。但是,该恶意软件通过将恶意程序代码注入至合法App以潜入系统中,并规避掉权限提示。
Jamf公司研究人员Jaron Bradley、Ferdous Saljooki和Stuart Ashenbrenner在官方博客贴文中解释说,这只恶意软件会搜索受害者计算机上经常被授给屏幕共享权限的其他App(例如Zoom、WhatsApp和Slack),然后再将恶意屏幕录制程序代码植入到这些App中。这让该恶意程序代码得以“利用”合法App,来承接其在macOS上的权限。然后,这只恶意软件会使用新凭证来为该新App Bundle进行签章,以避免被macOS内置安全防护机制加以标记。
研究人员指出,虽然这只恶意软件特别使用权限提示规避手法,目的是为了截取用户桌面截屏,但他们警告指出,该恶意软件并不仅止于录制屏幕而已。换句话说,该Bug瑕疵有可能已被用来访问受害者麦克风、网络摄影机或记录诸如密码或信用卡号等用户击键。
目前还不清楚该恶意软件通过这样的手法感染了多少台Mac计算机。但苹果公司证实,其已修复了macOS 11.4中的Bug错误,并于25日发布了更新。
(首图来源:Apple)