Вредоносное ПО, известное своей нацеленностью на операционную систему macOS, было обновлено в очередной раз обновлено, чтобы добавить больше функций к своему набору инструментов, позволяющих собирать и выкачивать конфиденциальные данные, хранящиеся в различных приложениях, включая такие как, как Google Chrome и Telegram.
XCSSET был обнаружен в августе 2020 года, когда было установлено, что он нацелен на разработчиков Mac, используя необычный способ распространения, который заключается в инъекции вредоносного кода в проекты Xcode IDE, которая выполняется во время создания файлов проекта в Xcode.
Это ПО обладает многочисленными возможностями, такими как чтение и удаление куки Safari, внедрение вредоносного кода JavaScript на различные веб-сайты, кража информации из приложений, таких как Notes, WeChat, Skype, Telegram, и шифрование файлов пользователя.
Ранее в апреле этого года XCSSET получило обновление, которое позволило авторам вредоносного ПО атаковать macOS 11 Big Sur, а также компьютеры Mac, работающие на чипе M1, обходя новые политики безопасности, введенные Apple в последней версии операционной системы.
Согласно сообщению, опубликованному компанией по кибербезопасности, было обнаружено, что XCSSET запускает вредоносный файл AppleScript для создания папки с данными Telegram ("~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram")
в архивированный ZIP-файл, а затем загружает его на удаленный сервер, позволяя таким образом субъекту атаки войти в систему, используя учетные записи жертв.
В Google Chrome вредоносное ПО пытается украсть пароли, хранящиеся в веб-браузере, которые, в свою очередь, зашифрованы с помощью мастер-пароля, обманом заставляя пользователя предоставить привилегии администратора через обманное диалоговое окно для получения мастер-пароля из iCloud Keychain, после чего содержимое расшифровывается и передается на сервер.
Помимо Chrome и Telegram, XCSSET также способен похищать информацию из различных приложений, таких как Evernote, Opera, Skype, WeChat и собственные приложения Apple «Контакты» и «Заметки».
Ещё по теме: