XCSSET-Malware verwendet 0-Day-Angriffe in macOS
Apple hat veröffentlichte Sicherheitsupdates für eine Reihe seiner Produkte und behoben drei 0-Day-Schwachstellen in macOS und tvOS, die die XCSSET-Malware bereits verwendet. Malware hat eines der Probleme übernommen, um die Schutzmechanismen von macOS zu umgehen.
In allen drei Fällen, Apple warnt vor den Problemen “könnte aktiv ausgenutzt werden” von Cyberkriminellen, jedoch, Details zu diesen Angriffen oder Kriminellen im Unternehmen wurden noch nicht bekannt.
Zwei der drei Schwachstellen (CVE-2021-30663 und CVE-2021-30665) kann als weniger gefährlich angesehen werden, da sie nur eine Bedrohung für WebKit auf Apple TV 4K- und Apple TV HD-Geräten darstellten. Diese Probleme könnten durch speziell gestaltete bösartige Webinhalte ausgenutzt werden, die Informationen im Speicher beschädigten, die die Ausführung von beliebigem Code auf anfälligen Geräten zur Folge hatte.
Der dritte und schwerwiegendste Zero-Day-Bug (CVE-2021-30713) ist gefährlich für Geräte mit macOS Big Sur, und ist ein Berechtigungsproblem in der Transparenz, Zustimmung, und Kontrolle (TCC) Rahmen.
Die Schwachstelle wurde von den Ingenieuren des Informationssicherheitsunternehmens entdeckt Jamf als sie die XCSSET-Malware untersuchten. Lassen Sie mich Sie daran erinnern, dass diese Malware zuerst bemerkt letztes Jahr, als sich herausstellte, dass viele auf GitHub gehostete Xcode-Projekte damit infiziert waren.
„Bei der ersten Entdeckung, Es wurde berichtet, dass eine der bemerkenswertesten Funktionen von XCSSET die Verwendung von zwei Zero-Day-Exploits ist. [Der Erste] wurde verwendet, um Cookies aus dem Safari-Browser zu stehlen, und die zweite wurde verwendet, um Anfragen bei der Installation von Safari für Entwickler zu umgehen.“, – sagten die Forscher.
jedoch, Eine detailliertere Studie von XCSSET ergab, dass die Malware einen dritten Exploit für eine weitere Zero-Day-Sicherheitslücke in ihrem Arsenal hat. Als AppleScript verpackt, der Exploit ermöglichte es Malware, TCC zu umgehen (ein macOS-Dienst, der Popups anzeigt und nach Berechtigungen fragt, wenn eine Anwendung versucht, eine aufdringliche Aktion auszuführen, einschließlich der Verwendung der Kamera, Mikrofon, Bildschirmaufnahme, oder Tastenanschläge).
XCSSET missbraucht CVE-2021-30713 um die Kennungen anderer Anwendungen auf macOS zu finden, die potenziell schädliche Berechtigungen erhalten haben, und dann ein bösartiges Applet in eine dieser Anwendungen eingefügt, um dann bösartige Aktionen auszuführen.
“Der diskutierte Exploit ermöglichte es Angreifern, sich vollen Festplattenzugriff zu verschaffen, Bildschirmaufnahme, und andere Berechtigungen ohne ausdrückliche Zustimmung des Benutzers”, — warnt Jamf.
Obwohl XCSSET und seine Vertriebskampagnen normalerweise sehr zielgerichtet sind und hauptsächlich auf Entwickler abzielen, es besteht die Gefahr, dass sich jetzt auch andere Kriminelle bedienen CVE-2021-30713 für ihre Angriffe. Deshalb, macOS-Benutzern wird dringend empfohlen, ihr Betriebssystem auf die neueste Version zu aktualisieren (macOS Big Sur 11.4).
Lass mich dich daran erinnern, dass ich das auch geschrieben habe Die MountLocker-Ransomware verwendet die Windows-API, um im Netzwerk zu navigieren.