Apple macOS : un malware zero-day prend secrètement des captures d’écran

Il y a exactement un mois, les chercheurs ont révélé qu’une famille de logiciels malveillants notoires exploitait une vulnérabilité inédite qui lui permettait de contourner les défenses de sécurité de macOS et de fonctionner librement. Aujourd’hui, certains de ces chercheurs affirment qu’un autre malware, XCSSET, peut se faufiler sur les systèmes macOS, grâce à une autre vulnérabilité.

XCSSET contourne les autorisations d’accès

L’éditeur de logiciels Jamf dit avoir trouvé des preuves que le malware XCSSET exploitait une vulnérabilité qui lui permettait d’accéder à des parties de macOS qui nécessitent une autorisation (microphone, webcam, capture d’écran, …) sans consentement.  XCSSET a été découvert pour la première fois en 2020 par Trend Micro, une société qui développe des logiciels de sécurité pour les serveurs. Ce malware ciblerait en particulier les projets Xcode des développeurs d’Apple qui permettent de coder et créer des applications. 

En infectant ces projets de développement d’applications, les développeurs distribuent involontairement le malware aux utilisateurs, dans ce que les chercheurs de Trend Micro ont décrit comme une attaque de chaîne d’approvisionnement. Le logiciel malveillant est en cours de développement, avec des variantes plus récentes ciblant également les Mac exécutant la nouvelle puce M1.

Malware utilise deux zero-day

Une fois que le logiciel malveillant s’exécute sur l’ordinateur d’une victime, il utilise deux zero-day. L’un lui permet de voler les cookies du navigateur Safari pour accéder aux comptes en ligne d’une victime. L’autre sert à installer discrètement une version de développement de Safari, permettant aux attaquants de modifier et fouiner sur pratiquement n’importe quel site Web.

Jamf dit que le malware exploiterait un troisième zero-day jusqu’alors inconnu afin de prendre secrètement des captures d’écran de l’écran de la victime. MacOS est censé demander l’autorisation à l’utilisateur avant d’autoriser une application, malveillante ou non, à capturer l’écran, accéder au microphone / webcam ou ouvrir le stockage de l’utilisateur. Mais le logiciel malveillant a contourné ce système de défense en injectant un code malveillant dans des applications légitimes.

Bug corrigé dans macOS 11.4

Le malware recherche d’autres applications sur l’ordinateur de la victime qui reçoivent fréquemment des autorisations de partage d’écran, comme Zoom, WhatsApp et Slack, et injecte un code de capture d’écran malveillant dans ces applications. Cela permet au code malveillant de « superposer » l’application légitime et d’hériter de ses autorisations sur macOS. Ensuite, le malware signe le nouvel ensemble d’applications avec un nouveau certificat pour éviter d’être signalé par les défenses de sécurité intégrées de macOS.

Le malware utilisait spécifiquement le contournement de l’invite d’autorisations dans le but de prendre des captures d’écran du bureau de l’utilisateur. Les chercheurs ont averti que cela ne se limitait pas aux captures d’écran. Le bug aurait pu être utilisé pour capturer les frappes au clavier des mots de passe par exemple ou des numéros de carte de crédit. Le nombre de Mac infectés reste inconnu, mais Apple a confirmé avoir corrigé le bug dans macOS 11.4, qui est désormais disponible sous forme de mise à jour

Pin It on Pinterest