Modern technology gives us many things.

XCSSET: Mac-Malware mit versteckter Screenshot-Funktion

0 1

Eine 0-day-Lücke erlaubt der über Xcode-Projekte verbreiteten Malware, sich die Screenshot-Berechtigung anderer Apps zu erschleichen. Ein Apple-Patch liegt vor.


    XCSSET: Mac-Malware mit versteckter Screenshot-Funktion

(Bild: welcomia/Shutterstock.com)

Mac & i Von

  • Leo Becker

Die vor wenigen Monaten entdeckte Mac-Malware "XCSSET" setzte offenbar auf mehr 0-day-Exploits als bislang bekannt: Der Schädling hat auch eine Schwachstelle in Apples "Transparency Consent and Control"-System (TCC) ausgenutzt, um heimlich Screenshots anfertigen zu können – indem sich die Malware in das Verzeichnis einer Software einnistete, der der Nutzer die entsprechende Berechtigung zur Aufzeichnung von Bildschirminhalten bereits erteilt hatte.

Ein Modul der AppleScript-basierten Malware sucht dafür auf dem Mac nach installierten Programmen, die eine Berechtigung zur Bildschirmaufzeichnung besitzen – das schließt Screenshots ebenso wie Bildschirmaufnahmen ein. Wird eine solche gefunden, erstellt die Malware eine neue AppleScript-App und injiziert diese in das Verzeichnis der legitimen App, wie Jamf erklärt – beispielsweise ein Videokonferenz-Tool wie Zoom. Die AppleScript-App werde zudem mit einem Ad-Hoc-Zertifikat signiert

Apple hat die Lücke mit dem in der Nacht auf Dienstag veröffentlichen macOS-Version 11.4 Big Sur gestopft. Eine Schad-Software könne die Datenschutzeinstellungen umgehen, führt der Hersteller zu CVE-2021-30713 auf, es gebe Berichte, dass die Lücke aktiv ausgenutzt wird. Für ältere Versionen des Betriebssystems gibt es keinen Patch, die entsprechende Datenschutzfunktion für Screenshots und Screencaps gibt es erst seit macOS 10.15 Catalina.


    XCSSET: Mac-Malware mit versteckter Screenshot-Funktion


    XCSSET: Mac-Malware mit versteckter Screenshot-Funktion

XCSSET scheint vorrangig auf Entwickler abzuzielen, die mit Apples Entwicklungsumgebung Xcode arbeiten. Der Schadcode wird in lokale Xcode-Projekte auf dem Mac "injiziert" und ausgeführt, sobald die Software kompiliert wird. Über infizierte Xcode-Projekte, die beispielsweise über Github bereitgestellt werden, kann sich die Malware weiter verbreiten, hieß es im vergangenen August. Entwickler sollten die Integrität ihrer Projekte entsprechend prüfen, um eine Infektion zu vermeiden.

Lesen Sie auch


    XCSSET: Mac-Malware mit versteckter Screenshot-Funktion

(lbe)

Quelle: www.heise.de

Hinterlasse eine Antwort

Deine Email-Adresse wird nicht veröffentlicht.