Güvenlik araştırmacıları, bir MacOS Malware suşu tarafından kullanılan yöntemle ilgili detaylar, birden fazla uygulamadan giriş bilgilerini çalmak için, operatörlerinin hesapları çalmasını sağlar.
Dubbed XCSSET, kötü amaçlı yazılımlar gelişmeyi sürdürüyor ve yerel Xcode projelerini bulaştırarak MacOS geliştiricilerini bir yıldan fazla hedefliyor.
XCSSET, enfekte bilgisayarlardan belirli uygulamalara ait hassas bilgilerle toplanır ve bunları komut ve kontrol (C2) sunucusuna gönderir.
Hedeflenen uygulamalardan biri Telgraf Anlık Mesajlaşma Yazılımıdır. Kötü amaçlı yazılım, grup konteyner dizininin altındaki "KeepCoder.telegram" klasörü için "Telegram.Applescript" arşivi oluşturur.
Telgraf klasörünün toplanması, bilgisayar korsanlarının, hesabın meşru sahibi olarak mesajlaşma uygulamasına giriş yapmalarını sağlar.
Trend Micro'da araştırmacılar, çalınan klasörün telgraf kurulu olan başka bir makinede kopyalamayı, saldırganlara kurbanın hesabına erişmesini sağlar.
XCSSET, bu şekilde hassas verileri çalabilir, çünkü normal kullanıcılar uygulama Sandbox dizinine okuma ve yazma izinleri ile erişebilir.
"Tüm yürütülebilir dosyalar MacOS'ta sanaldırılmamış, bu, basit bir komut dosyası, Sandbox dizininde depolanan tüm verileri çalabileceği anlamına gelir" - Trend Micro
Araştırmacılar ayrıca, Google Chrome'da kaydedilen şifreleri, kullanıcı etkileşimi gerektiren ve en az 2016'dan bu yana tanımlanmış olan bir tekniği çalmak için kullanılan yöntemi de analiz ettiler.
Tehdit aktörünün, kullanıcının anahtarlıkında "krom güvenli depolama" olarak depolanan güvenli depolama anahtarını alması gerekir.
Bununla birlikte, kullanıcıyı, Chrome'da depolanan şifreleri şifresini çözebilecek güvenli depolama anahtarını almak için gerekli olan tüm saldırganın operasyonlarına yönelik yönetici ayrıcalıklarını vermek için sahte bir diyalog kullanırlar.
Bir kez şifresi çözüldü, tüm veriler saldırganın komutuna ve kontrol sunucusuna gönderilir. Diğer uygulamalardan hassas verileri çalmak için XCSSet'te benzer komut dosyaları vardır: Rehber, Evernote, Notes, Opera, Skype, Wechat.
Trend Mikro araştırmacılar, analiz ettiği XCSSET'in en son sürümünün ayrıca, deneysel krom kanarya web tarayıcısındaki Siteli Scripting (XSS) enjeksiyonları için güncellenmiş bir C2 sunucu listesine ve yeni bir "Kanarya" modu var.
Kötü amaçlı yazılımın son güncellemeleri önemli özellikler eklemekten uzak olsa da, XCSSET'in sürekli geliştiğini ve uyumlu olduğunu gösteriyorlar.
XCSSET, en son MacOS sürümünü hedefliyor (şu anda Big Sur) ve geçmişte, tam disk erişimi için korumaları atlatmak ve kullanıcının açık içeriğinden kaçının.
Apple, vahşi doğada sömürülen iPhone'lar ve MAC'leri etkileyen sıfır gün düzeltti
Apple, XCSSET MacOS Malware tarafından kötüye kullanılan üç sıfır günü düzeltti.
Google Chrome şimdi 50x daha hızlı kimlik avı tespiti ile geliyor
Xloader Malware MacOS ve Windows sistemlerinden giriş yaparken
Google Yamalar 8. Chrome Sıfır Günü, bu yıl vahşi doğada sömürüldü
Kaynak: Bleeping Computer