XCSSET Malware: Zero-Day erlaubt Umgehung von Apples Sicherheitsmechanismus TCC in macOS

Das Update macOS Big Sur 11.4 behebt einen von XCSSET ausgenutzten Zero-Day. Dabei wurde der Sicherheitsmechanismus TCC komplett umgangen.

Laptop, XCSSET Malware
Bildquelle: VadimVasenin

Das letzte Update für macOS Big Sur 11.4 vom 24. Mai 2021 behebt einen von der XCSSET Malware ausgenutzten Zero-Day. Diese Sicherheitslücke erlaubte es dem Schadprogramm, andere Applikationen quasi huckepack zu nehmen. Dabei wurde der Sicherheitsmechanismus Transparency Consent and Control (TCC) komplett umgangen.

Die unter dem CVE-2021-30713 bekannt gewordene Sicherheitslücke wurde laut den Sicherheitsforschern von jamf längst aktiv durch XCSSET ausgenutzt. Diese Schwachstelle erlaubte es der Malware mithilfe von bereits installierter Software mit den passenden Berechtigungen beliebig Screenshots zu erstellen. Weiterhin führten die Sicherheitsforscher aus, dass diese Sicherheitslücke nicht nur auf Screenshots beschränkt ist. Auch beliebige Berechtigungen anderer Apps können missbraucht werden.

Spenderapps mit den nötigen Berechtigungen

Konkret missbraucht XCSSET folgende Programme als „Spender„:

  • Zoom
  • Discord
  • WhatsApp
  • Slack
  • WeChat
  • TeamViewer
  • Upwork
  • Parallels Desktop
  • Screenshot Monitor
  • Sketch
  • Skype
Apple iPhone

Lesen Sie auch

Weitere Schritte der Malware

Wenn XCSSET eine der eben genannten Apps auf dem System gefunden hat, startet die Malware eine der Applikationen und injiziert ein bösartiges AppleScript. Im Detail werden folgende Schritte durchgeführt:

  1. Das XCSSET AppleScript Screenshot-Modul wird vom Command & Control Server heruntergeladen und anschließend unter ~/Library/Caches/GameKit gespeichert.
  2. Nachdem wird dieses Screenshot-Modul in ein AppleScript Programm namens avatarde.app kompiliert. Dabei wird ein sogenanntes Applet im neuen Bundle Verzeichnis unter /Contents/MacOS/ abgelegt. Das Applet kann dann das dazugehörige Script unter /Contents/Resources/Scripts/main.scpt ausführen.
  3. Die neu erstellte Info.plist wird anschließend mithilfe von plutil modifiziert. Damit kann das Modul als Hintergrundprozess laufen, ohne dass der Nutzer es bemerkt.
  4. Anschließend lädt XCSSET ein leeres Icon herunter, welches dem Programm zugeordnet wird.
  5. Schließlich wird das neu erzeugte Applet in das Verzeichnis der Spenderapplikation kopiert. Dabei erbt das Malwaremodul quasi die Berechtigungen des Spenders.

Neue Variante der XCSSET Malware schon im Vorjahr von Trend Micro analysiert

Das Schadprogramm ist bereits seit längerer Zeit bekannt. Bereits im August 2020 hatte Trend Micro die XCSSET Malware tiefergehend analysiert. Sie schmuggelte unter anderem bösartiges Coding in Xcode Projekte ein und implantierte Safari eine Backdoor. Dabei hatte die Malware zwei Zero-Days ausgenutzt. Tarnkappe berichtete darüber in den Lesetipps. Auch ist XCSSET bereits im April 2021 bei macOS 11 angekommen und befällt auch Geräte mit dem neuen M1-Chip.

Keine absolute IT-Sicherheit möglich

Wie man an diesem Beispiel mal wieder sieht, ist auch macOS für Schadsoftware durchaus anfällig. Durch das Installieren eines Mac-Antivirus-Programms oder der Antiviren-Suite eines anderen Anbieters, kann man sich ein Stück weit besser absichern. Malware-Hersteller haben es im Durchschnitt deutlich seltener auf die Hardware aus Cupertino abgesehen. Nicht weil das OS von Apple so viel sicherer wäre. Sondern, weil ihre Geräte sehr viel seltener vorkommen. Umso seltener ein Betriebssystem eingesetzt wird, umso geringer ist die Chance der Cyberkriminellen auf eine entsprechende Infektion und somit auf Umsatz. Viren oder Trojaner werden noch seltener für Linux-Distributionen erstellt. Aber nicht, weil sie noch besser abgesichert wären. Je nach Distribution ist sogar eher das Gegenteil der Fall. Sondern, weil Linux noch seltener benutzt wird. Dazu kommt: eine 100%ige Sicherheit ist im IT-Sektor grundsätzlich unmöglich.

Tarnkappe.info

Honeybee schreibt seit Ende 2020 für die Tarnkappe. Der Einstieg war ein Reverse Engineering Artikel über die Toniebox. Die Biene liebt es, Technik aller Art in ihre Bestandteile zu zerlegen. Schraubendreher und Lötkolben liegen immer in Reichweite. Themen wie Softwareentwicklung, Reverse Engineering, IT-Security und Hacking sind heiß geliebt.