macOS 零时差漏洞连续技！新 XCSSET 恶意软件变种会偷抓使用者屏幕画面

差不多 1 个月前，研究人员揭露一只恶名昭彰的恶意软件家族正在利用一个从未见过的漏洞，让该恶意软件得以规避 macOS 的安全防御机制，并畅通无阻地运行。如今，同一群研究人员表示，拜另一个漏洞所赐，另一只恶意软件能潜入 macOS 系统。 

苹果设备资安管理方案商 Jamf 表示，它找到证据指出，XCSSET 恶意软件正在利用一个漏洞，该漏洞允许骇客存取 macOS 中需要许可权的部分，例如未经同意就能存取麦克风、网络摄影机或录下整个屏幕画面。

XCSSET 最早由趋势科技在 2020 年发现，它专门锁定 Apple 开发人员，特别是他们用来编写和构建 App 的 Xcode 专案。透过感染这些 App 开发专案，开发人员会无意中将恶意软件分发给用户，趋势科技研究人员将它称之为“类供应链攻击”。这支恶意软件还在持续开发中，最新的变种也特别将运行新版 M1 芯片的 Mac 当作攻击目标。

一旦这只恶意软件在受害者的电脑上运行，它就会透过两个 Zero-Day 零时差漏洞（其中一个漏洞能从 Safari 浏览器中窃取 Cookie，以存取受害者的线上账号，另一个漏洞则会悄悄安装开发版 Safari），让攻击者几乎能修改并监听任何网站。

苹果已于 25 日修补漏洞

但是 Jamf 公司指出，这只恶意软件正在利用之前从未发现的第三个零时差漏洞，以便能偷偷地撷取受害者的屏幕画面。基本上，在允许任何恶意软件或其他 App 录制屏幕，存取麦克风或网络摄影机，抑或打开用户储存之前，macOS 都应该会先征求用户的许可才对。但是，该恶意软件透过将恶意程式码注入至合法 App 以潜入系统中，并规避掉许可权提示。

Jamf 公司研究人员 Jaron Bradley、Ferdous Saljooki 和 Stuart Ashenbrenner 在官方部落格贴文中解释说，这只恶意软件会搜寻受害者电脑上经常被授予屏幕共享权限的其他 App（例如 Zoom、WhatsApp 和 Slack），然后再将恶意屏幕录制程式码植入到这些 App 中。这让该恶意程式码得以“利用”合法 App，来承接其在 macOS 上的权限。然后，这只恶意软件会使用新凭证来为这支新 App Bundle 进行签章，以避免被 macOS 内建安全防护机制加以标记。

研究人员指出，虽然这只恶意软件特别使用许可权提示规避手法，目的是为了撷取使用者桌面截图，但他们警告指出，该恶意软件并不仅止于录制屏幕而已。换句话说，该 Bug 瑕疵有可能已被用来存取受害者麦克风、网络摄影机或记录诸如密码或信用卡号等使用者击键。

目前还不清楚该恶意软件透过这样的手法感染了多少台 Mac 电脑。但苹果公司证实，其已修复了 macOS 11.4 中的 Bug 错误，并于 25 日发布了更新。

• Malware caught using a macOS zero-day to secretly take screenshots

（首图来源：Apple）