Вредоносная программа XCSSET, известная своими атаками на операционную систему macOS, была в очередной раз обновлена и получила новые тактики и инструментарий, позволяющий ей собирать и выкачивать конфиденциальные данные, хранящиеся в различных приложениях, включая Google Chrome и Telegram.
XCSSET была обнаружена в августе 2020 года и распространялся в основном среди разработчиков Mac используя необычный способ доставки, который заключается в инъекции вредоносной полезной нагрузки в проекты Xcode IDE, которая выполняется во время создания файлов проекта в Xcode.
Вредонос обладает многочисленными возможностями, такими как чтение и сброс cookies Safari, внедрение вредоносного кода JavaScript на различные веб-сайты, кража информации из приложений, таких как Notes, WeChat, Skype, Telegram, и шифрование файлов пользователя.
Ранее в апреле этого года XCSSET получила обновление, которое позволило авторам вредоносного ПО атаковать macOS 11 Big Sur, а также компьютеры Mac, работающие на чипсете M1, обходя новые политики безопасности, введенные Apple в последней версии операционной системы.
«Вредоносная программа загружает со своего CnC-сервера собственный инструмент open, который поставляется с предварительной подписью ad-hoc, тогда как если бы она работала на macOS версий 10.15 и ниже, то для запуска приложений использовалась бы встроенная в систему команда open» - отмечали ранее исследователи Trend Micro.
Теперь, согласно новым данным, было обнаружено что XCSSET запускает вредоносный файл AppleScript для сжатия папки с данными Telegram ("~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram") в архивный файл ZIP, а затем загружает его на удаленный сервер под своим контролем, позволяя таким образом атакующему войти в систему, используя учетные записи жертв.
В Google Chrome вредоносная программа пытается украсть пароли, хранящиеся в веб-браузере, которые в свою очередь зашифрованы с помощью мастер-пароля называемого «ключ безопасного хранения», обманом заставляя пользователя предоставить привилегии root через фишинговое диалоговое окно, и, злоупотребляя повышенными правами, выполнить несанкционированную команду shell для получения мастер-ключа из iCloud Keychain, после чего содержимое расшифровывается и передается на CnC-сервер.
Помимо Chrome и Telegram, XCSSET также способен похищать ценную информацию из других приложений, таких как Evernote, Opera, Skype, WeChat и приложения «Контакты» и «Заметки» от Apple, извлекая эти данные из соответствующих каталогов песочницы.
«Обнаруженные способы кражи информации из различных приложений подчеркивают степень агрессивности вредоносной программы, пытающейся украсть самые разные виды данных из пораженных систем» - заявили исследователи.
Источник: https://is-systems.org