Malware detectado usando un macOS zero-day para tomar capturas de pantalla en secreto


Hace casi exactamente un mes, los investigadores revelaron que una familia de malware notoria estaba explotando una vulnerabilidad nunca antes vista que le permitía eludir las defensas de seguridad de macOS y funcionar sin obstáculos. Ahora, algunos de los mismos investigadores dicen que otro malware puede colarse en los sistemas macOS, gracias a otra vulnerabilidad.

Jamf dice que encontró evidencia de que el malware XCSSET estaba explotando una vulnerabilidad que le permitía acceder a partes de macOS que requieren permiso, como acceder al micrófono, la cámara web o grabar la pantalla, sin obtener el consentimiento.

XCSSET fue descubierto por primera vez por Trend Micro en 2020 dirigido a los desarrolladores de Apple, específicamente a sus proyectos Xcode que utilizan para codificar y crear aplicaciones. Al infectar esos proyectos de desarrollo de aplicaciones, los desarrolladores distribuyen involuntariamente el malware a sus usuarios, en lo que los investigadores de Trend Micro describieron como un «ataque similar a una cadena de suministro». El malware está en continuo desarrollo, con variantes más recientes que también apuntan a Mac que ejecutan el chip M1 más nuevo.

Una vez que el malware se ejecuta en la computadora de la víctima, utiliza dos días cero: uno para robar cookies del navegador Safari para obtener acceso a las cuentas en línea de la víctima y otro para instalar silenciosamente una versión de desarrollo de Safari, lo que permite a los atacantes modificar y fisgonear en prácticamente cualquier sitio web.

Pero Jamf dice que el malware estaba explotando un tercer día cero no descubierto previamente para tomar capturas de pantalla en secreto de la pantalla de la víctima.

Se supone que macOS solicita permiso al usuario antes de permitir que cualquier aplicación, malintencionada o de otro tipo, grabe la pantalla, acceda al micrófono o la cámara web, o abra el almacenamiento del usuario. Pero el malware pasó por alto ese aviso de permisos al infiltrarse por debajo del radar al inyectar código malicioso en aplicaciones legítimas.

Los investigadores de Jamf Jaron Bradley, Ferdous Saljooki y Stuart Ashenbrenner explicaron en una publicación de blog, compartida con TechCrunch, que el malware busca otras aplicaciones en la computadora de la víctima a las que con frecuencia se les otorgan permisos para compartir pantalla, como Zoom, WhatsApp y Slack, e inyecta código de grabación de pantalla malicioso en esas aplicaciones. Esto permite que el código malintencionado se convierta en una aplicación legítima y herede sus permisos en macOS. Luego, el malware firma el nuevo paquete de aplicaciones con un nuevo certificado para evitar ser marcado por las defensas de seguridad integradas de macOS.

Los investigadores dijeron que el malware utilizaba la omisión de avisos de permisos «específicamente con el propósito de tomar capturas de pantalla del escritorio del usuario», pero advirtieron que no se limitaba a la grabación de pantalla. En otras palabras, el error podría haberse utilizado para acceder al micrófono, la cámara web de la víctima o capturar sus pulsaciones de teclas, como contraseñas o números de tarjetas de crédito.

No está claro cuántos Mac pudo infectar el malware con esta técnica. Pero Apple confirmó a TechCrunch que solucionó el error en macOS 11.4, que se puso a disposición como actualización hoy.



Fuente: TechCrunch

Compartir:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para fines de afiliación y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver Política de cookies
Privacidad