MacOS Malware XCSSET

Un malware connu pour cibler le système d’exploitation macOS a été à nouveau mis à jour pour ajouter plus de fonctionnalités à son ensemble d’outils qui lui permettent d’amasser et d’exfiltrer des données sensibles stockées dans une variété d’applications, y compris des applications telles que Google Chrome et Telegram, dans le cadre d’autres ” raffinements dans ses tactiques.”

XCSSET était découvert en août 2020, lorsqu’il a été découvert ciblant les développeurs Mac en utilisant un moyen de distribution inhabituel qui impliquait d’injecter une charge utile malveillante dans les projets IDE Xcode qui est exécuté au moment de la création de fichiers de projet dans Xcode.

Équipes de débordement de pile

Le malware est doté de nombreuses fonctionnalités, telles que la lecture et le vidage des cookies Safari, l’injection de code JavaScript malveillant dans divers sites Web, le vol d’informations à partir d’applications telles que Notes, WeChat, Skype, Telegram et le cryptage des fichiers utilisateur.

Plus tôt en avril, XCSSET a reçu une mise à niveau qui a permis aux auteurs de logiciels malveillants de cibler macOS 11 Big Sur ainsi que les Mac fonctionnant sur le chipset M1 en contournant les nouvelles politiques de sécurité instituées par Apple dans le dernier système d’exploitation.

“Le malware télécharge son propre outil ouvert à partir de son serveur C2 qui est pré-signé avec une signature ad-hoc, alors que s’il était sur les versions macOS 10.15 et inférieures, il utiliserait toujours la commande ouverte intégrée du système pour exécuter les applications “, ont précédemment noté les chercheurs de Trend Micro.

Selon un nouvel article publié jeudi par la société de cybersécurité, il a été découvert que XCSSET exécute un fichier AppleScript malveillant pour compresser le dossier contenant les données Telegram (“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram” ) dans un fichier d’archive ZIP, avant de le télécharger sur un serveur distant sous leur contrôle, permettant ainsi à l’acteur malveillant de se connecter à l’aide des comptes de la victime.

Gestion des mots de passe d'entreprise

Avec Google Chrome, le malware tente de voler les mots de passe stockés dans le navigateur Web – qui sont à leur tour cryptés à l’aide d’un mot de passe principal appelé “clé de stockage sécurisée” – en incitant l’utilisateur à accorder des privilèges root via une boîte de dialogue frauduleuse, en abusant des autorisations élevées. pour exécuter une commande shell non autorisée pour récupérer la clé principale du trousseau iCloud, après quoi le contenu est déchiffré et transmis au serveur.

Outre Chrome et Telegram, XCSSET a également la capacité de piller des informations précieuses à partir d’une variété d’applications comme Evernote, Opera, Skype, WeChat et les propres applications Contacts et Notes d’Apple en récupérant lesdites données à partir de leurs répertoires sandbox respectifs.

“La découverte de la façon dont il peut voler des informations à partir de diverses applications met en évidence le degré auquel le malware tente agressivement de voler divers types d’informations à partir des systèmes affectés”, ont déclaré les chercheurs.



Leave a Reply