Nuevo exploit “Zero-Day” de Apple encontrado en XCSSET MacOS Malware

XCSSET MacOS Malware

Recientemente se ha parcheado un nuevo exploit de Apple Zero-Day que se usó en el malware XCSSET, y el exploit permite a los atacantes eludir las protecciones TCC de Apple a través de aplicaciones maliciosas.También permite ejecutar el exploit en los dispositivos de la víctima sin ningún tipo de interacción del usuario.

Apple recientemente parcheó y lanzó una actualización para 3 vulnerabilidades de día cero y 2 de 3 vulnerabilidades afectan a WebKit en dispositivos Apple TV 4K y Apple TV HD, la tercera vulnerabilidad de día cero utilizada en el malware XCSSET, inicialmente  descubierta  por la investigación de Trendmicro en 2020.

Además, GBHackers  informó recientemente  que el malware XCSSET también fue atacado a través de Xcode Projects Se adapta a macOS 11 y Mac basado en M1. El malware XCSSET fue desarrollado, escrito en AppleScript, un lenguaje de scripting desarrollado por Apple, que facilita el control sobre las aplicaciones Mac habilitadas para script.

Explotación del marco de TCC

Apple MacOS  liberación  (11.4), Apple parcheado  un exploit de día cero  (CVE-2.021 a 30.713) que el bypass Marco de TCC que ayuda a otras aplicaciones para el acceso de vídeo software de colaboración de acceso a la cámara web y el micrófono, y mucho más.

Si los atacantes aprovechan con éxito la vulnerabilidad, obtendrán acceso completo al disco, grabación de pantalla u otros permisos sin requerir el consentimiento explícito del usuario.

El análisis reciente realizado por el equipo de detección de Jamf Protect informó que encontraron este exploit en el malware XCSSET y la variante encontrada en wide para atacar a los usuarios de mac.

Durante este descubrimiento, el investigador también descubrió que XCSSET supuestamente ha utilizado dos exploits de día cero que se utilizaron para robar las cookies del navegador Safari y otro exploit utilizado para evitar las indicaciones para instalar una versión de desarrollador de la aplicación Safari.

El marco TCC realiza varias acciones en los dispositivos Apple, como guardar archivos en el directorio Documentos, grabar pulsaciones de teclas y tomar una captura de pantalla. durante esta acción, los usuarios recibirán un mensaje que les preguntará si desean otorgar o denegar el permiso de la aplicación para hacerlo.

Durante el análisis del malware, los investigadores encontraron un módulo de AppleScript con el título “screen_sim.applescript”, dentro del cual también notaron una verificación de permisos llamada “VerifyCapturePermissions”, lo que significa que el malware busca una aplicación que tiene permiso para tomar una captura de pantalla. .

De acuerdo con el informe “” XCSSET Malware también apuntó que si se encuentran ID de aplicación en el sistema, el comando devuelve la ruta a la aplicación instalada. Con esta información, el malware crea una aplicación AppleScript personalizada y la inyecta en la aplicación donante instalada. Lo hace realizando una serie de funciones, la más notable se llama createDonorApp ().

e determinó que esta vulnerabilidad tampoco se limita a los permisos de grabación de pantalla. Se pueden transferir varios permisos diferentes que ya se han proporcionado a la aplicación del donante a la aplicación creada de forma malintencionada. Los investigadores dijeron.

Indicadores de compromiso (IoC)

Dominios de mando y control:

  • trendmicronano [.] com
  • findmymacs [.] com
  • adoberelations [.] com
  • statsmag [.] com
  • statsmag [.] xyz
  • flixprice [.] com
  • adobestats [.]. com
  • titiez [.] com
  • icloudserv [.] com
  • atecasec [.] com
  • monotel [.] xyz
  • enlace lateral [.] xyz
  • mantrucks [.] xyz
  • linebrand [.] xyz
  • línea de nodos [.] xyz
¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *