macOS 零時差漏洞連續技!新 XCSSET 惡意軟體變種會偷抓使用者螢幕畫面
差不多 1 個月前,研究人員揭露一隻惡名昭彰的惡意軟體家族正在利用一個從未見過的漏洞,讓該惡意軟體得以規避 macOS 的安全防禦機制,並暢通無阻地運行。如今,同一群研究人員表示,拜另一個漏洞所賜,另一隻惡意軟體能潛入 macOS 系統。
蘋果設備資安管理方案商 Jamf 表示,它找到證據指出,XCSSET 惡意軟體正在利用一個漏洞,該漏洞允許駭客存取 macOS 中需要許可權的部分,例如未經同意就能存取麥克風、網路攝影機或錄下整個螢幕畫面。
XCSSET 最早由趨勢科技在 2020 年發現,它專門鎖定 Apple 開發人員,特別是他們用來編寫和構建 App 的 Xcode 專案。透過感染這些 App 開發專案,開發人員會無意中將惡意軟體分發給用戶,趨勢科技研究人員將它稱之為「類供應鏈攻擊」。這支惡意軟體還在持續開發中,最新的變種也特別將運行新版 M1 晶片的 Mac 當作攻擊目標。
一旦這隻惡意軟體在受害者的電腦上運行,它就會透過兩個 Zero-Day 零時差漏洞(其中一個漏洞能從 Safari 瀏覽器中竊取 Cookie,以存取受害者的線上帳號,另一個漏洞則會悄悄安裝開發版 Safari),讓攻擊者幾乎能修改並監聽任何網站。
蘋果已於 25 日修補漏洞
但是 Jamf 公司指出,這隻惡意軟體正在利用之前從未發現的第三個零時差漏洞,以便能偷偷地擷取受害者的螢幕畫面。基本上,在允許任何惡意軟體或其他 App 錄製螢幕,存取麥克風或網路攝影機,抑或打開用戶儲存之前,macOS 都應該會先徵求用戶的許可才對。但是,該惡意軟體透過將惡意程式碼注入至合法 App 以潛入系統中,並規避掉許可權提示。
Jamf 公司研究人員 Jaron Bradley、Ferdous Saljooki 和 Stuart Ashenbrenner 在官方部落格貼文中解釋說,這隻惡意軟體會搜尋受害者電腦上經常被授予螢幕共享權限的其他 App(例如 Zoom、WhatsApp 和 Slack),然後再將惡意螢幕錄製程式碼植入到這些 App 中。這讓該惡意程式碼得以「利用」合法 App,來承接其在 macOS 上的權限。然後,這隻惡意軟體會使用新憑證來為這支新 App Bundle 進行簽章,以避免被 macOS 內建安全防護機制加以標記。
研究人員指出,雖然這隻惡意軟體特別使用許可權提示規避手法,目的是為了擷取使用者桌面截圖,但他們警告指出,該惡意軟體並不僅止於錄製螢幕而已。換句話說,該 Bug 瑕疵有可能已被用來存取受害者麥克風、網路攝影機或記錄諸如密碼或信用卡號等使用者擊鍵。
目前還不清楚該惡意軟體透過這樣的手法感染了多少台 Mac 電腦。但蘋果公司證實,其已修復了 macOS 11.4 中的 Bug 錯誤,並於 25 日發布了更新。
(首圖來源:Apple)