Вредонос XCSSET для macOS обзавелся функциями для кражи данных из Chrome и Telegram

Вредоносное ПО XCSSET, разработанное для осуществления атак на операционную систему macOS, получило обновление . Как сообщили специалисты Trend Micro, вредонос обзавелся новыми функциями, позволяющими похищать конфиденциальные данные из различных приложений, включая браузер Google Chrome и мессенджер Telegram.

О вредоносном ПО XCSSET впервые стало известно в августе 2020 года. Вредонос распространялся через модифицированные проекты Xcode IDE, которые после сборки выполняли полезную нагрузку. XCSSET заново упаковывал модули полезной нагрузки, имитировавшие легитимные приложения для macOS, которые в конечном итоге заражали локальные проекты Xcode и внедряли основную полезную нагрузку для выполнения при сборке скомпрометированного проекта.

Вредоносная программа обладает многочисленными возможностями, такими как чтение и сброс cookie-файлов Safari, внедрение вредоносного JavaScript-кода на различные web-сайты, кража информации из приложений, таких как Notes, WeChat, Skype, Telegram, а также шифрование пользовательских файлов.

Например, XCSSET запускает вредоносный файл AppleScript для сжатия папки, содержащей данные Telegram (~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram) в файл архива ZIP, прежде чем загружать его на удаленный сервер под контролем злоумышленников.

Из браузера Google Chrome вредоносная программа может похитить пароли путем обмана пользователя с целью предоставления привилегий суперпользователя через мошенническое диалоговое окно, злоупотребляя повышенными разрешениями. XCSSET запускает неавторизованную команду оболочки для получения главного ключа из цепочки ключей iCloud, после чего содержимое расшифровывается и передается на сервер преступников.

Помимо Chrome и Telegram, XCSSET также может похищать ценную информацию из различных приложений, таких как Evernote, Opera, Skype, WeChat и Apple «Контакты» и «Заметки», извлекая указанные данные из соответствующих каталогов песочницы.

Напомним, в апреле нынешнего года XCSSET получил обновление, позволявшее операторам атаковать macOS 11 Big Sur, а также системы, работающие на новых чипах M1 от компании Apple, путем обхода новых политик безопасности, установленных Apple в последней версии операционной системы.