XCSSET: Mac-Malware mit versteckter Screenshot-Funktion

Eine 0-day-LĂĽcke erlaubt der ĂĽber Xcode-Projekte verbreiteten Malware, sich die Screenshot-Berechtigung anderer Apps zu erschleichen. Ein Apple-Patch liegt vor.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen

(Bild: welcomia/Shutterstock.com)

Update
Lesezeit: 2 Min.

Die vor wenigen Monaten entdeckte Mac-Malware "XCSSET" setzte offenbar auf mehr 0-day-Exploits als bislang bekannt: Der Schädling hat auch eine Schwachstelle in Apples "Transparency Consent and Control"-System (TCC) ausgenutzt, um heimlich Screenshots anfertigen zu können – indem sich die Malware in das Verzeichnis einer Software einnistete, der der Nutzer die entsprechende Berechtigung zur Aufzeichnung von Bildschirminhalten bereits erteilt hatte.

Ein Modul der AppleScript-basierten Malware sucht dafür auf dem Mac nach installierten Programmen, die eine Berechtigung zur Bildschirmaufzeichnung besitzen – das schließt Screenshots ebenso wie Bildschirmaufnahmen ein. Wird eine solche gefunden, erstellt die Malware eine neue AppleScript-App und injiziert diese in das Verzeichnis der legitimen App, beispielsweise ein Videokonferenz-Tool wie Zoom, wie Jamf erklärt. Die AppleScript-App werde zudem mit einem Ad-Hoc-Zertifikat signiert. Auf diese Weise lasse sich auch Zugang zu anderen sonst geschützten Funktionen erschleichen, wie Mikrofon und Festplattenvollzugriff, wie Jamf anmerkt.

Apple hat die TCC-Lücke mit dem in der Nacht auf Dienstag veröffentlichen macOS-Version 11.4 Big Sur gestopft. Eine Schad-Software könne die Datenschutzeinstellungen umgehen, führt der Hersteller zu CVE-2021-30713 auf, es gebe Berichte, dass die Lücke aktiv ausgenutzt wird. Für ältere Versionen des Betriebssystems gibt es keinen Patch, die entsprechende Datenschutzfunktion für Screenshots und Screencaps gibt es seit macOS 10.15 Catalina.

XCSSET scheint vorrangig auf Entwickler abzuzielen, die mit Apples Entwicklungsumgebung Xcode arbeiten. Der Schadcode wird in lokale Xcode-Projekte auf dem Mac "injiziert" und ausgeführt, sobald die Software kompiliert wird. Über infizierte Xcode-Projekte, die beispielsweise über Github bereitgestellt werden, kann sich die Malware weiter verbreiten, hieß es im vergangenen August. Entwickler sollten die Integrität ihrer Projekte entsprechend prüfen, um eine Infektion zu vermeiden.

[Update 26.5.2021 12:50 Uhr] Im Sicherheits-Update 2021-003 fĂĽr macOS 10.15 und 2021-004 fĂĽr macOS 10.14 wird eine Beseitigung dieser TCC-Schwachstelle nicht aufgefĂĽhrt, nur ein anderer TCC-Bug scheint dort auch behoben.

(lbe)