[ad_1]

دستان دستکش ، لپ تاپی را که دارای جمجمه و استخوان است ، دستکاری می کنند.

هکرهای مخرب از این آسیب پذیری در نسخه های کاملاً به روز شده macOS استفاده می کنند و به آنها امکان می دهد بدون نیاز به گرفتن مجوز از قربانیان ، از Macهای آلوده عکس بگیرند.

Zero Day توسط XCSSET مورد سوited استفاده قرار گرفت ، تکه ای از بدافزار که در اوت سال گذشته توسط شرکت امنیتی Trend Micro کشف شد. XCSSET در آن زمان دو روز صفر برای آلوده کردن توسعه دهندگان Mac به بدافزارهای مخرب کوکی ها و پرونده های مرورگر استفاده کرد. به صورت معکوس در وب سایت ها تزریق می شود. سرقت اطلاعات از اسکایپ ، تلگرام و سایر برنامه های نصب شده. عکس گرفتن از صفحه و پرونده های رمزگذاری شده و یک یادداشت باج نشان داد.

روز سوم صفر

این عفونت ها به صورت پروژه های مخربی است که مهاجم برای Xcode نوشته است ، ابزاری که اپل به طور رایگان در اختیار توسعه دهندگان قرار می دهد که برای macOS یا سایر سیستم عامل های اپلیکیشن برنامه نویسی می کنند. به محض افتتاح و ساخت یکی از پروژه های XCSSET ، TrendMicro گفت که این کد مخرب روی Mac توسعه دهندگان کار می کند. پروژه Xcode مخزنی برای تمام پرونده ها ، منابع و اطلاعات مورد نیاز برای ساخت برنامه است.

در ماه مارس ، محققان SentinelOne کتابخانه جدید Trojan را با کد حیات وحش کشف کردند که بدافزار XCSSET را نیز بر روی توسعه دهندگان Mac نصب می کند.

روز دوشنبه ، محققان از Jamf ، ارائه دهنده امنیت شرکت اپل ، گفتند که XCSSET از یک روز صفر استفاده می کند که تا همین اواخر کشف نشده بود. این آسیب پذیری در چارچوب رضایت و شفافیت نهفته است ، که قبل از اینکه یک برنامه نصب شده بتواند مجوزهای سیستم را برای دسترسی به دیسک سخت ، میکروفون ، دوربین و سایر منابع حساس به حریم خصوصی و امنیت به دست آورد ، نیاز به اجازه صریح از کاربر دارد.

XCSSET بدون نیاز به اجازه کاربر ، از آسیب پذیری برای دور زدن امنیت TCC و گرفتن عکس از صفحه استفاده کرد. اپل روز دوشنبه با انتشار macOS 11.4 CVE-2021-30713 را رفع کرد (زیرا این آسیب پذیری در حال پیگیری است).

این آسیب پذیری نتیجه یک خطای منطقی است که به XCSSET اجازه می دهد تا در فهرست برنامه های نصب شده ای که قبلاً مجوز عکس برداری از صفحه را داشته است ، مخفی شود. این بهره برداری به بدافزار اجازه می دهد مجوزهای عکس صفحه و همچنین سایر امتیازات کنترل شده توسط TCC را به ارمغان بیاورد.

برنامه های والدین را استخراج کنید

جارون بردلی ، محقق Jamf در مصاحبه ای گفت: “برخی از توسعه دهندگان برنامه هایی را با برنامه های كوچكتر جاسازی شده در آنها طراحی می كنند.” “چیزی غیرقابل شنیده نیست. اما به نظر می رسد در نحوه کار با مجوزهای TCC در چنین شرایطی در منطق سیستم عامل اشتباه رخ داده است. “

برای شناسایی برنامه هایی که XCSSET می تواند خاموش کند ، بدافزار مجوز ضبط صفحه را از لیست برنامه های نصب شده بررسی می کند.

بردلی در پستی نوشت: “همانطور که انتظار می رفت ، لیست شناسه های برنامه که هدف قرار گرفته اند ، همه برنامه هایی هستند که کاربران به طور منظم به عنوان بخشی از عملکرد طبیعی خود ، اجازه اشتراک صفحه را دارند.” “سپس بدافزار از دستور زیر استفاده می کند ، mdfind ، یک نسخه خط فرمان از Spotlight ، برای تأیید نصب شناسه های برنامه بر روی دستگاه قربانی.”

جامف

این پست نحوه عملکرد جریان AppleScript را که مسئول کار است توضیح می دهد:

  1. ماژول تصویر صفحه AppleScript XCSSET از سرور مدیریت و کنترل بدافزار (C2) (در پوشه ~ / Library / Caches / GameKit) بارگیری می شود.
  2. با استفاده از دستور osacompile ، ماژول عکس صفحه به یک برنامه مبتنی بر AppleScript به نام avatarde.app تبدیل می شود. وقتی هرگونه AppleScript به این روش کامپایل می شود ، فایل اجرایی به نام “applet” در فهرست / Contents / MacOS / بسته برنامه ایجاد شده جدید قرار می گیرد و اسکریپتی که برنامه اجرا می کند می تواند در / Contents / Resources / Scripts باشد. / اصلی scpt
  3. سپس Info.plist تازه ایجاد شده از باینری plutil اصلاح می شود و تنظیمات ترجیحی LSUIElement را به true تغییر می دهد. این اجازه می دهد تا برنامه بصورت فرایند پس زمینه اجرا شود و حضور خود را از کاربر پنهان کند.
  4. سپس یک نماد خالی بارگیری شده و روی برنامه اعمال می شود.
  5. سرانجام ، برنامه تازه ایجاد شده با استفاده از کد زیر در برنامه اهدا کننده موجود قرار می گیرد:

به عنوان مثال ، اگر برنامه ملاقات مجازی zoom.us.app در سیستم پیدا شود ، بدافزار به شرح زیر نصب می شود:

/Applications/zoom.us.app/Contents/MacOS/avatarde.app

اگر رایانه قربانی از macOS 11 یا بالاتر استفاده می کند ، او برنامه avatarde را با امضای موقت یا امضا شده توسط خود رایانه امضا می کند.

هنگامی که همه پرونده ها در محل قرار گرفتند ، برنامه سفارشی از برنامه اصلی خارج می شود ، که در مثال بالا بزرگنمایی است. این بدان معناست که یک برنامه مخرب می تواند بدون رضایت صریح کاربر ، عکس از صفحه گرفته یا صفحه را ذخیره کند. این مجوزهای TCC را مستقیماً از برنامه بزرگنمایی والدین دریافت می کند. این نگرانی قابل توجهی برای حفظ حریم خصوصی کاربر نهایی است.

در هنگام آزمایش Jamf ، مشخص شد که این آسیب پذیری محدود به مجوزهای ضبط صفحه نیست. بسیاری از مجوزهای مختلف که قبلاً به برنامه اهدا کننده اعطا شده اند می توانند به برنامه ایجاد شده با سوicious استفاده منتقل شوند.

جامف

پس از رفع آسیب پذیری توسط اپل ، TCC مطابق آنچه اپل در نظر گرفته کار می کند ، با یک پیام گفتگوی از کاربران می خواهد که تنظیمات تنظیمات سیستم را برای اجازه دادن به برنامه باز کنند یا به سادگی بر روی دکمه انصراف نشان داده شده در پنجره بازشو کلیک کنید.

بعید است XCSSET یک Mac را آلوده کند مگر اینکه یک پروژه مخرب Xcode را اجرا کرده باشد. این بدان معناست که بعید است افراد آلوده شوند مگر اینکه توسعه دهنده ای باشند که از یکی از پروژه ها استفاده کرده باشند. پست Jamf شاخص هایی را برای لیست سازش فراهم می کند که افراد می توانند برای تعیین آلودگی از آنها استفاده کنند.

[ad_2]

منبع: tarjome-news.ir