以 macOS 操作系统为目标的恶意软件再次更新,为其工具集添加了更多功能,使其能够收集和泄露存储在各种应用程序(包括 Google Chrome 和 Telegram 等应用程序)中的敏感数据,作为进一步“改进其战术。”
XCSSET被发现在2020年八月,当发现目标使用分配的一个不寻常的手段,涉及注入恶意负载必须清楚交代在Xcode的建设项目文件时执行的Xcode IDE项目Mac开发。
该恶意软件具有多种功能,例如读取和转储 Safari cookie,将恶意 JavaScript 代码注入各种网站,从 Notes、微信、Skype、Telegram 等应用程序中窃取信息,以及加密用户文件。
今年 4 月初,XCSSET获得了升级,使恶意软件作者能够通过规避 Apple 在最新操作系统中制定的新安全策略来针对 macOS 11 Big Sur 以及运行在 M1 芯片组上的 Mac。
“恶意软件从它的 C2 服务器下载自己的开放工具,该工具带有临时签名,而如果它在 macOS 10.15 及更低版本上,它仍然会使用系统的内置打开命令来运行应用程序,”趋势科技研究人员此前指出。
现在,根据网络安全公司周四发布的一篇新文章,发现 XCSSET 运行恶意 AppleScript 文件来压缩包含 Telegram 数据的文件夹(“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”) ) 到 ZIP 存档文件中,然后将其上传到受其控制的远程服务器,从而使威胁行为者能够使用受害者帐户登录。
使用谷歌浏览器,恶意软件试图窃取存储在网络浏览器中的密码——这些密码又使用称为“安全存储密钥”的主密码进行加密——通过欺骗用户通过欺诈性对话框授予 root 权限,滥用提升的权限运行未经授权的 shell 命令从 iCloud 钥匙串中检索主密钥,然后将内容解密并传输到服务器。
除了 Chrome 和 Telegram 之外,XCSSET 还能够从各种应用程序(如 Evernote、Opera、Skype、微信以及 Apple 自己的联系人和便笺应用程序)中通过从各自的沙箱目录中检索这些数据来窃取有价值的信息。
研究人员说:“它如何从各种应用程序窃取信息的发现凸显了恶意软件积极尝试从受影响系统窃取各种信息的程度。”
极牛网精选文章《macOS恶意软件XCSSET现在针对Chrome和Telegram软件》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15439.html