Oli aika, jolloin Macia pidettiin turvassa haittaohjelmilta ja muilta haitoilta. Hyökkääjät halusivat mennä Windows-käyttäjien perään yksinkertaisesti siksi, että heitä oli enemmän – hyökkääjät voisivat saada enemmän rytmiä. Se on kuitenkin muuttunut, kun useammat ihmiset omistavat Mac-tietokoneita. Tämä on johtanut kolmannen nollapäivän hyökkäykseen macOSiin alle vuodessa, jolloin hyökkääjät voivat hyötyä monin tavoin Safarin kautta.
Kolmannen macOS Zero-Day Attackin löytäminen
Viime elokuussa tietoturva-asiantuntijat löysivät XCSSET-nollapäivähyökkäyksen, joka vaikutti Mac-kehittäjiin. Se antoi heille pääsyn selaimen evästeisiin ja tiedostoihin. Se jätti myös verkkosivujen takaovet ja poisti tietoja sovelluksista ja jätti jälkeensä lunnaat. Viime maaliskuussa SentinelOne-tutkijat löysivät troijalaiskoodikirjaston, joka asensi XCSSET-haittaohjelman kehittäjä-Maciin.
Kolmas XCSSET-esiintymä on löydetty Trend Micron tutkijat. Näissä kahdessa nollapäivän macOS-hyökkäyksessä toinen hyödyntää virheitä evästeiden varastamisessa ja toinen hyödyntää Safarin kehittäjäversiota. Tutkijoiden mielestä hyökkäykset olivat ”melko epätavallisia”.
”Haitallinen koodi injektoidaan paikallisiin Xcode-projekteihin, joten kun projekti rakennetaan, haittaohjelma suoritetaan. Tämä aiheuttaa riskin erityisesti Xcode-kehittäjille. Uhka lisääntyy, koska olemme tunnistaneet kehittäjät, jotka jakavat projektinsa GitHubissa, mikä johtaa toimitusketjun kaltaiseen hyökkäykseen käyttäjille, jotka luottavat näihin arkistoihin riippuvuuksina omissa projekteissaan ”, lukee Trend Micron verkkosivuston blogikirjoitus. Tutkijat uskovat, että hyökkäykset voivat olla laajalle levinneitä, koska haittaohjelma tunnistettiin myös VirusTotal-lähteistä.
Tutkijat havaitsivat pääsyuhkan nimellä ”TrojanSpy.MacOS.XCSSET.A ja sen komento- ja ohjaustiedostoihin (C & C) Backdoor.MacOS.XCSSET.A.
XCSSETin aiheuttama vahinko
X-koodiprojektit ja muokatut sovellukset luodaan haittaohjelmista ja levittävät hyökkäystä. Mitä ei tiedetä, on se, miten haittaohjelma saavuttaa nämä Mac-tietokoneet. Tiedetään, että X-koodiprojektit on muokattu suorittamaan haitallista koodia, joka saavuttaa Macin, mikä johtaa käyttäjän tunnistetiedot ja muut varastettavat tiedot.
Kun se laskeutuu järjestelmään, XCSSET voi:
- Väärinkäytä Safaria ja muita selaimia
- Lue ja tyhjennä Safari-evästeet
- Ruiskuta takaovet Safari-kehitysversioon UXSS-hyökkäyksen kautta
- Varasta tietoja sovelluksista
- Ota kuvakaappauksia
- Lähetä käyttäjätiedostoja hyökkääjän palvelimelle
- Salaa tiedostot
- Näytä lunnaat
UXSS-hyökkäys vaikuttaa ensisijaisesti selaamiseen. Se voi:
- Muokkaa verkkosivustoja
- Muokkaa / korvaa Bitcoin- ja kryptovaluuttaosoitteita
- Varasta tilin kirjautumistiedot
- Varasta Apple Storen luottokorttitiedot
- Estä käyttäjää vaihtamasta salasanoja varastamalla muokattuja salasanoja
- Ota kuvakaappauksia
Kun Macin nollapäivähyökkäys on kolme kertaa alle vuodessa, ei voida kertoa, mihin ja milloin se osuu seuraavaksi. Trend Micro ehdottaa, että käyttäjät lataavat sovelluksia vain virallisista, laillisista lähteistä ja käyttävät monikerroksista tietoturvaratkaisua.
Lue oppia joitain ruma totuuksia nollapäivän hyväksikäytöistä ja siitä, onko Windows Defender tarpeeksi hyvä vuonna 2021.