Škodlivý malvér macOS XCSSET sa teraz zameriava na Google Chrome, telegramový softvér

Malvér známy tým, že sa zameriava na operačný systém macOS, bol opäť aktualizovaný, aby do svojej sady nástrojov pridal ďalšie funkcie, ktoré mu umožňujú zhromažďovať a extrahovať citlivé údaje uložené v rôznych aplikáciách vrátane aplikácií, ako sú Google Chrome a Telegram, v rámci ďalších „ vylepšenia jeho taktiky.”

XCSSET bol odhalený v auguste 2020, keď sa zistilo, že sa zameriava na vývojárov Mac pomocou nezvyčajného spôsobu distribúcie, ktorý zahŕňal vloženie škodlivého nákladu do projektov Xcode IDE, ktoré sa spúšťajú v čase vytvárania súborov projektu v Xcode.

Malvér prichádza s mnohými funkciami, ako je čítanie a ukladanie súborov cookie Safari, vkladanie škodlivého kódu JavaScript do rôznych webových stránok, kradnutie informácií z aplikácií, ako sú Notes, WeChat, Skype, telegram a šifrovanie používateľských súborov.

Začiatkom apríla dostal XCSSET inováciu, ktorá umožnila autorom malvéru zacieliť na macOS 11 Big Sur, ako aj na Macy bežiace na čipsetoch M1 obchádzaním nových bezpečnostných zásad zavedených Apple v najnovšom operačnom systéme.

„Malvér stiahne svoj vlastný otvorený nástroj zo svojho servera C2, ktorý je vopred podpísaný s ad-hoc podpisom, zatiaľ čo ak by bol na macOS verzie 10.15 a nižšej, stále by na spúšťanie aplikácií používal systémový otvorený príkaz. “, predtým poznamenali výskumníci Trend Micro.

Teraz podľa nového zápisu, ktorý vo štvrtok zverejnila firma zaoberajúca sa kybernetickou bezpečnosťou, sa zistilo, že XCSSET spúšťa škodlivý súbor AppleScript na kompresiu priečinka obsahujúceho telegramové údaje (“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram” ) do archívneho súboru ZIP pred jeho nahraním na vzdialený server pod ich kontrolou, čo umožní aktérovi hrozby prihlásiť sa pomocou účtov obetí.

V prehliadači Google Chrome sa malvér pokúša ukradnúť heslá uložené vo webovom prehliadači – ktoré sú zase zašifrované pomocou hlavného hesla nazývaného „bezpečný kľúč úložiska“ – oklamaním používateľa, aby udelil oprávnenia root prostredníctvom podvodného dialógového okna a zneužíval zvýšené povolenia. spustiť neautorizovaný príkaz shellu na získanie hlavného kľúča z iCloud Keychain, po ktorom sa obsah dešifruje a prenesie na server.

Okrem prehliadača Chrome a telegramu má XCSSET tiež kapacitu na drancovanie cenných informácií z rôznych aplikácií, ako sú Evernote, Opera, Skype, WeChat a Applevlastné aplikácie Kontakty a Poznámky získaním uvedených údajov z ich príslušných adresárov v karanténe.

„Objav toho, ako dokáže kradnúť informácie z rôznych aplikácií, poukazuje na mieru, do akej sa malvér agresívne pokúša ukradnúť rôzne druhy informácií z postihnutých systémov,“ uviedli vedci.