上个月,安全研究人员透露,一个臭名昭著的恶意软件家族利用了一个从未见过的macOS漏洞。该漏洞让这些恶意软件绕过macOS安全防御系统,所以它们的运行不受阻碍。有迹象表明,macOS在未来可能再次成为目标。
安全公司Jamf声称,它已经发现了一个漏洞存在据,该漏洞允许XCSSET恶意软件在未经同意的情况下访问macOS中需要权限的部分,比如麦克风、摄像头或录制屏幕。XCSSET是趋势科技在2020年首次发现的恶意软件,目标是苹果开发者,特别是用于编码和创建应用程序的Xcode项目开发者。通过感染应用程序开发项目,开发人员在类似供应链的攻击中,不自觉地将恶意软件传播给他们的用户。该恶意软件正在不断发展,后期版本甚至瞄准了采用苹果自研M1芯片的Mac电脑。
恶意软件在受害者的电脑上运行后,它使用两个零日恶意程序。第一个是用来偷取Safari浏览器的cookie,并获取受害者的证书。第二个用于静默安装一个特殊的Safari版本,使攻击者能够更改和窥探几乎任何网站。Jamf表示,该恶意软件使用未知的第三个零日漏洞,对受害者macOS的壁纸进行隐藏式截图。
一般来说,在允许应用程序运行之前,操作系统要求用户允许录制屏幕、访问连接到系统或内置到系统的麦克风或摄像头,或打开存储等操作。然而,恶意软件通过在合法应用程序中插入恶意代码来规避权限。其他安全研究人员Jaron Bradley、Ferdous Saljooki和Stuart Ashenbrenner在一篇博客文章中表示,恶意软件会在受害者的设备中寻找其它同样拥有屏幕共享许可的应用程序,例如Zoom、WhatsApp和Slack。恶意代码将合法的应用程序打包并从macOS继承其权限。然后,恶意软件为应用程序捆绑包签署新证书,以防止被系统禁止。
安全公司Jamf推出了Jamf Protect,提供分析功能,检测并防止对该漏洞的潜在利用。这是通过测试一个请求是否与另一个请求捆绑来实现的。如果发生匹配,两个应用程序之间的数字签名将被验证,并在签署过程中有效检测出不匹配。现在,新的macOS补丁修复了这个问题。此外,据估计,该补丁还可以阻止类似XCSSET的恶意软件在未来滥用这一漏洞。该补丁可用于macOS 11.4或更高版本。