Malware detectado usando un macOS zero-day para tomar capturas de pantalla en secreto – Heaven32

Hace casi exactamente un mes, los investigadores revelaron una familia de malware notoria estaba explotando una vulnerabilidad nunca antes vista que le permitía eludir las defensas de seguridad de macOS y funcionar sin obstáculos. Ahora, algunos de los mismos investigadores dicen que otro malware puede colarse en los sistemas macOS, gracias a otra vulnerabilidad.

Jamf dice que encontró evidencia de que el malware XCSSET estaba explotando una vulnerabilidad que le permitía acceder a partes de macOS que requieren permiso, como acceder al micrófono, la cámara web o grabar la pantalla, sin obtener el consentimiento.

XCSSET era descubierto por primera vez de Trend Micro en 2020 dirigido a desarrolladores de Apple, específicamente a sus proyectos Xcode que utilizan para codificar y crear aplicaciones. Al infectar esos proyectos de desarrollo de aplicaciones, los desarrolladores distribuyen involuntariamente el malware a sus usuarios, en lo que los investigadores de Trend Micro describieron como un “ataque similar a una cadena de suministro”. El malware está en continuo desarrollo, con variantes más recientes que también apuntan a Mac en ejecución. el chip M1 más nuevo

.

Una vez que el malware se ejecuta en la computadora de la víctima, utiliza dos días cero: uno para robar cookies del navegador Safari para obtener acceso a las cuentas en línea de la víctima y otro para instalar silenciosamente una versión de desarrollo de Safari, lo que permite a los atacantes modificar y fisgonear en prácticamente cualquier sitio web.

Pero Jamf dice que el malware estaba explotando un tercer día cero no descubierto previamente para tomar capturas de pantalla en secreto de la pantalla de la víctima.

Se supone que macOS solicita permiso al usuario antes de permitir que cualquier aplicación, malintencionada o no, grabe la pantalla, acceda al micrófono o la cámara web, o abra el almacenamiento del usuario. Pero el malware pasó por alto ese aviso de permisos al infiltrarse por debajo del radar al inyectar código malicioso en aplicaciones legítimas.

Los investigadores de Jamf, Jaron Bradley, Ferdous Saljooki y Stuart Ashenbrenner explicaron en una publicación de blog, compartido con Heaven32, que el malware busca otras aplicaciones en la computadora de la víctima a las que con frecuencia se les otorgan permisos para compartir pantalla, como Zoom, WhatsApp y Slack, e inyecta un código de grabación de pantalla malicioso en esas aplicaciones. Esto permite que el código malicioso se convierta en una aplicación legítima y herede sus permisos en macOS. Luego, el malware firma el nuevo paquete de aplicaciones con un nuevo certificado para evitar ser marcado. por las defensas de seguridad integradas de macOS.

Los investigadores dijeron que el malware utilizó la omisión de mensajes de permisos “específicamente con el propósito de tomar capturas de pantalla del escritorio del usuario”, pero advirtieron que no se limitaba a la grabación de pantalla. En otras palabras, el error podría haberse utilizado para acceder al micrófono, la cámara web de la víctima o capturar sus pulsaciones de teclas, como contraseñas o números de tarjetas de crédito.

No está claro cuántos Mac pudo infectar el malware con esta técnica. Pero Apple confirmó a Heaven32 que corrigió el error en macOS 11.4, que estuvo disponible como actualización hoy.

Leave a Reply

Your email address will not be published. Required fields are marked *