Ce malware macOS effrayant prend secrètement des captures d’écran de votre appareil

Des chercheurs en cybersécurité ont partagé des détails sur une souche de malware macOS qui a trouvé un nouveau moyen de contourner les protections de la vie privée afin de prendre des captures d’écran du bureau d’une victime.

Le macOS d’Apple s’appuie sur le cadre TCC (Transparency Consent and Control) pour réguler l’utilisation des ressources de l’ordinateur, telles que la webcam et le microphone, par les applications installées.

Les chercheurs en sécurité de la société de gestion des appareils mobiles (MDM) Jamf ont découvert que le malware XCSSET exploitait une vulnérabilité zero-day désormais corrigée dans macOS pour contourner le cadre TCC d’Apple.

Nous examinons comment nos lecteurs utilisent VPN pour un prochain rapport détaillé. Nous aimerions connaître votre opinion dans le sondage ci-dessous. Cela ne prendra pas plus de 60 secondes de votre temps.

& gt; & gt; Cliquez ici pour démarrer l’enquête dans une nouvelle fenêtre & lt; & lt;

Le malware XCSSET a été découvert pour la première fois en août 2020 dans l’environnement de développement intégré (IDE) Xcode utilisé par les développeurs sur macOS pour créer des applications pour iPhone, iPad, Mac, Apple Watch et Apple TV.

Autorisations de ferroutage

Grâce à ce vecteur d’attaque unique, les développeurs Apple légitimes ont involontairement distribué le malware à leurs utilisateurs, ce que les chercheurs en sécurité considèrent comme une attaque de type chaîne d’approvisionnement.

De manière cruciale, malgré leur divulgation, les auteurs du malware l’ont constamment mis à jour et des variantes plus récentes sont conçues pour cibler les Mac M1.

«Quand il a été découvert pour la première fois, on pensait que XCSSET utilisait deux exploits zero-day … En plongeant plus loin dans le malware, Jamf a découvert qu’il exploitait également un troisième zero-day pour contourner le cadre TCC d’Apple,» les chercheurs en sécurité de Jamf expliqué dans leur analyse.

Lors de la dissection du logiciel malveillant, les chercheurs de Jamf ont découvert qu’il recherchait d’autres applications sur l’ordinateur de la victime qui reçoivent fréquemment des autorisations de partage d’écran.

Une fois trouvé, il place ensuite un fichier avec un code d’enregistrement d’écran malveillant dans le même répertoire que l’application légitime, afin d’hériter des autorisations de l’application de partage d’écran légitime.

Cependant, il est important de noter qu’Apple a déjà corrigé la vulnérabilité qui a rendu cet exploit possible et exhorte tous les utilisateurs de macOS 11.4 à installer le correctif sans délai.

Sources :

• sciencedirect.com