上個月,安全研究人員透露,一個臭名昭著的惡意軟件家族利用了一個從未見過的macOS漏洞。該漏洞讓這些惡意軟件繞過macOS安全防禦系統,所以它們的運行不受阻礙。有跡象表明,macOS在未來可能再次成為目標。
安全公司Jamf聲稱,它已經發現了一個漏洞存在據,該漏洞允許XCSSET惡意軟件在未經同意的情況下訪問macOS中需要權限的部分,比如麥克風、攝像頭或錄製屏幕。XCSSET是趨勢科技在2020年首次發現的惡意軟件,目標是蘋果開發者,特別是用於編碼和創建應用程序的Xcode項目開發者。通過感染應用程序開發項目,開發人員在類似供應鏈的攻擊中,不自覺地將惡意軟件傳播給他們的用戶。該惡意軟件正在不斷發展,後期版本甚至瞄準了採用蘋果自研M1芯片的Mac電腦。
惡意軟件在受害者的電腦上運行后,它使用兩個零日惡意程序。第一個是用來偷取Safari瀏覽器的cookie,並獲取受害者的證書。第二個用於靜默安裝一個特殊的Safari版本,使攻擊者能夠更改和窺探幾乎任何網站。Jamf表示,該惡意軟件使用未知的第三個零日漏洞,對受害者macOS的壁紙進行隱藏式截圖。
一般來說,在允許應用程序運行之前,操作系統要求用戶允許錄製屏幕、訪問連接到系統或內置到系統的麥克風或攝像頭,或打開存儲等操作。然而,惡意軟件通過在合法應用程序中插入惡意代碼來規避權限。其他安全研究人員Jaron Bradley、Ferdous Saljooki和Stuart Ashenbrenner在一篇博客文章中表示,惡意軟件會在受害者的設備中尋找其它同樣擁有屏幕共享許可的應用程序,例如Zoom、WhatsApp和Slack。惡意代碼將合法的應用程序打包並從macOS繼承其權限。然後,惡意軟件為應用程序捆綁包簽署新證書,以防止被系統禁止。
安全公司Jamf推出了Jamf Protect,提供分析功能,檢測並防止對該漏洞的潛在利用。這是通過測試一個請求是否與另一個請求捆綁來實現的。如果發生匹配,兩個應用程序之間的數字簽名將被驗證,並在簽署過程中有效檢測出不匹配。現在,新的macOS補丁修復了這個問題。此外,據估計,該補丁還可以阻止類似XCSSET的惡意軟件在未來濫用這一漏洞。該補丁可用於macOS 11.4或更高版本。