O malware XCSSET continua a atacar MacBooks e rouba dados de vários aplicativos

Ficou sabendo que o malware XCSSET, que foi originalmente usado para atacar desenvolvedores de software para macOS, aprendeu a roubar dados de uma variedade de aplicativos. Escreve sobre esta edição o CNews tendo como referência dados de pesquisas da empresa Trend Micro, que atua na área de segurança da informação.

Imagem: CNews

Para distribuir o XCSSET, os invasores usam injeções de código malicioso em projetos Xcode locais para desenvolver software para a plataforma macOS. O malware começa a funcionar imediatamente após a compilação do projeto. A postagem observa que o XCSSET está evoluindo e ganhando novos recursos, como a capacidade de roubar dados do Telegram e senhas do Google Chrome.

Durante a operação, o malware cria o arquivo telegram.applescript na pasta keepcoder.Telegram em Group Containers. Descobriu-se que bastava copiar todo o diretório ~ / Library / GroupContainers / 6N38VWS5BX.ru.keepcoder.Telegram de um computador Mac para outro, de modo que quando o cliente Telegram iniciar no segundo dispositivo, o usuário já esteja autorizado com os dados do primeiro computador. Isso permite que os invasores controlem as contas e os bate-papos relacionados.

«No macOS, a pasta sandbox do aplicativo – ~ / Library / Containers / com.xxx.xxx e ~ / Library / GroupContainers / com.xxx.xxx – está disponível para usuários regulares com acesso de leitura / gravação. É assim que difere da prática no iOS. Nem todos os arquivos executáveis ​​no macOS são isolados, o que significa que um script simples pode roubar todos os dados armazenados na pasta sandbox. Recomendamos que os desenvolvedores de aplicativos evitem armazenar dados confidenciais na pasta sandbox, especialmente aqueles relacionados a logins “, disse a Trend Micro em um comunicado.

Quanto ao método de roubo de senhas do Google Chrome, envolve a obtenção de uma Chave de Armazenamento Seguro, que está localizada nas chaves do usuário. Com a ajuda de técnicas de engenharia social, os invasores podem enganar a vítima com privilégios administrativos que irão descriptografar todas as senhas armazenadas no Chrome. O arsenal XCSSET também contém scripts para roubar dados dos aplicativos Contatos, Notas, Evernote, Opera, Skype e WeChat. Além disso, os especialistas descobriram um módulo para um ataque de script entre sites no navegador Chrome Canary.