許可なくmacOSでスクリーンショットを撮ることができるマルウェアXcssetが発見されました

Jamfは、Mac管理ソリューションを提供し、iOSおよびmacOS用のアプリケーションを開発するソフトウェア開発会社です。この会社は、XCSSETマルウェアが、通常は許可を必要とするオペレーティングシステムの部分に制限なくアクセスできるようにする、macOSコンピューターの脆弱性を衝撃的に発見しました。アクセス可能な機能には、マイク、Webカメラ、および許可なく画面を記録することが含まれます。

画像クレジット：Jamf

XCSSETのマルウェアは、これは、このマルウェアが標的にいることが判明した2020年には昨年トレンドマイクロのウイルス対策サービスによって発見されたAppleの開発者と彼らのXcodeプロジェクトを。不完全なアプリが感染すると、マルウェアはこれらのアプリを使用、コーディング、またはテストするすべての人に拡散します。トレンドマイクロは、この戦略をサプライチェーン攻撃と表現しました。これは、マルウェアが初期段階でエンドユーザーを攻撃するのではなく、アプリのインストーラーに焦点を当て、その中で偽装したことを意味します。このマルウェアは定期的に更新されており、M1チップのAppleデバイスをターゲットにした新しい亜種が世界中で見つかりました。

画像：トレンドマイクロ

XCSSETマルウェアはどのように機能しますか？

トレンドマイクロは、被害者のコンピュータでのマルウェアの機能をゼロデイ攻撃として説明しています。初日は、Safariブラウザにハッキングして、ハッカーがすべてのユーザーのオンラインアカウントにアクセスするために使用できるすべてのCookieを取得することです。2番目のゼロデイは、ハッカーが任意のWebサイトへのアクセスを制御できるようにするSafariブラウザーの開発バージョンをインストールするために使用されます。しかし、Jamfは、攻撃者が知らないうちにユーザーの画面のスクリーンショットを撮ることができる3番目のゼロデイが存在することを発見しました。

画像：アップル

Jamfの研究者であるJaronBradley、Ferdous Saljooki、およびStuart Ashenbrennerはさらに、このマルウェアは、画面共有権限を持つ被害者のコンピューターに既にインストールされているアプリケーションを探すと説明しています。識別されると、このマルウェアは画面記録コードをそれらのアプリに挿入し、それがピギーバックライドとして機能します。最も人気のあるアプリには、Zoom、Slack、WhatsAppがあり、これらは無意識のうちにmacOSでの権限をこのマルウェアと共有します。XCSSETマルウェアは、macOSセキュリティによるフラグが立てられるのを防ぐのに役立つ新しいアプリバンドル証明書にも署名します。

画像：Google

理想的なシナリオでは、macOSは、アプリケーションへのアクセスと権限を付与する前に、ユーザーから許可を取得するように設計されています。これには、Webカメラのマイクとストレージを使用した画面の記録が含まれます。ただし、このマルウェアは、合法的なソフトウェアでレーダーから逃れるための乗り物を期待するというピギーバックの概念を使用していたため、これらのアクセス許可をバイパスすることができました。

最後に、Jamfはまた、マルウェアが被害者のデスクトップのスクリーンショットをキャプチャしているという事実を調査結果に含めたものの、それよりはるかに多くのプログラムを実行できると報告しました。このマルウェアは、ユーザーのWebカメラ、マイク、キーボードストロークにアクセスし、ユーザーのすべての個人データをキャプチャする可能性があります。

Appleは、最新のアップデートにより、すでにユーザーへの展開が開始されているmacOS11.4のこのバグが修正されることを確認しています。