El malware de Mac «XCSSET» se descubrió hace unos meses aparentemente confiando en más exploits de día 0 de lo que se conocía anteriormente: el malware también aprovechó una vulnerabilidad en el sistema TCC de Apple para capturar capturas de pantalla en secreto, por malware para incluirse en el manual del programa que el usuario ya ha dado la autorización adecuada para grabar el contenido de la pantalla.

Permiso de captura de pantalla a cuestas

Un módulo de escaneo de malware basado en AppleScript para software instalado en la Mac que tiene una licencia de grabación de pantalla; esto incluye capturas de pantalla y grabaciones de pantalla. Si encuentra una, el malware crea una nueva aplicación AppleScript y la inyecta en el directorio de la aplicación legítima. Como explica Jamf – Por ejemplo, una herramienta de videoconferencia como Zoom. AppleScript también está firmado con un certificado personalizado

Apple llenó el vacío con macOS 11.4 Big Sur lanzado el martes por la noche. El malware puede eludir la configuración de protección de datos, como afirma el fabricante con respecto a CVE-2021-30713, y hay informes de que la vulnerabilidad se explota activamente. No hay ningún parche para las versiones anteriores del sistema operativo, y la función de protección de datos correspondiente para capturas de pantalla y capturas de pantalla solo está disponible desde macOS 10.15 Catalina.

El malware está incluido en los proyectos de Xcode

XCSSET parece estar dirigido principalmente a desarrolladores que trabajan con el entorno de desarrollo Xcode de Apple. El código malicioso se «inyecta» en proyectos locales de Xcode en una Mac y se ejecuta una vez que se compila el programa. El malware puede propagarse aún más a través de proyectos Xcode infectados, que están disponibles a través de Github, por ejemplo, dijo en agosto pasado. Los desarrolladores deben verificar la integridad de sus proyectos en consecuencia para evitar infecciones.

(lbe)