XCSSET: Mac-Malware mit versteckter Screenshot-Funktion
Eine 0-day-Lücke erlaubt der über Xcode-Projekte verbreiteten Malware, sich die Screenshot-Berechtigung anderer Apps zu erschleichen. Ein Apple-Patch liegt vor.
(Bild: welcomia/Shutterstock.com)
Die vor wenigen Monaten entdeckte Mac-Malware "XCSSET" setzte offenbar auf mehr 0-day-Exploits als bislang bekannt: Der Schädling hat auch eine Schwachstelle in Apples "Transparency Consent and Control"-System (TCC) ausgenutzt, um heimlich Screenshots anfertigen zu können – indem sich die Malware in das Verzeichnis einer Software einnistete, der der Nutzer die entsprechende Berechtigung zur Aufzeichnung von Bildschirminhalten bereits erteilt hatte.
Huckepack zur Screenshot-Berechtigung
Ein Modul der AppleScript-basierten Malware sucht dafür auf dem Mac nach installierten Programmen, die eine Berechtigung zur Bildschirmaufzeichnung besitzen – das schließt Screenshots ebenso wie Bildschirmaufnahmen ein. Wird eine solche gefunden, erstellt die Malware eine neue AppleScript-App und injiziert diese in das Verzeichnis der legitimen App, beispielsweise ein Videokonferenz-Tool wie Zoom, wie Jamf erklärt. Die AppleScript-App werde zudem mit einem Ad-Hoc-Zertifikat signiert. Auf diese Weise lasse sich auch Zugang zu anderen sonst geschützten Funktionen erschleichen, wie Mikrofon und Festplattenvollzugriff, wie Jamf anmerkt.
Apple hat die TCC-Lücke mit dem in der Nacht auf Dienstag veröffentlichen macOS-Version 11.4 Big Sur gestopft. Eine Schad-Software könne die Datenschutzeinstellungen umgehen, führt der Hersteller zu CVE-2021-30713 auf, es gebe Berichte, dass die Lücke aktiv ausgenutzt wird. Für ältere Versionen des Betriebssystems gibt es keinen Patch, die entsprechende Datenschutzfunktion für Screenshots und Screencaps gibt es seit macOS 10.15 Catalina.
Malware nistet sich in Xcode-Projekte ein
XCSSET scheint vorrangig auf Entwickler abzuzielen, die mit Apples Entwicklungsumgebung Xcode arbeiten. Der Schadcode wird in lokale Xcode-Projekte auf dem Mac "injiziert" und ausgeführt, sobald die Software kompiliert wird. Über infizierte Xcode-Projekte, die beispielsweise über Github bereitgestellt werden, kann sich die Malware weiter verbreiten, hieß es im vergangenen August. Entwickler sollten die Integrität ihrer Projekte entsprechend prüfen, um eine Infektion zu vermeiden.
[Update 26.5.2021 12:50 Uhr] Im Sicherheits-Update 2021-003 für macOS 10.15 und 2021-004 für macOS 10.14 wird eine Beseitigung dieser TCC-Schwachstelle nicht aufgeführt, nur ein anderer TCC-Bug scheint dort auch behoben.
(lbe)