Một phần mềm độc hại nhắm mục tiêu vào hệ điều hành macOS, cho phép tích lũy và lấy ra dữ liệu nhạy cảm được lưu trữ trong nhiều ứng dụng, bao gồm các ứng dụng như Google Chrome và Telegram.
XCSSET bị phát hiện vào tháng 8 năm 2020, khi nó được phát hiện nhắm mục tiêu vào các nhà phát triển Mac bằng cách sử dụng một phương tiện phân phối bất thường liên quan đến việc đưa một tải trọng độc hại vào các dự án Xcode IDE được thực thi tại thời điểm xây dựng tệp dự án trong Xcode.
Phần mềm độc hại đi kèm với nhiều khả năng như đọc và kết xuất cookie Safari, đưa mã JavaScript độc hại vào các trang web khác nhau, lấy cắp thông tin từ các ứng dụng như Notes, WeChat, Skype, Telegram và mã hóa tệp người dùng.
Đầu tháng 4 vừa qua, XCSSET đã nhận được bản nâng cấp cho phép các tác giả phần mềm độc hại nhắm mục tiêu macOS 11 Big Sur cũng như các máy Mac chạy trên chipset M1 bằng cách phá vỡ các chính sách bảo mật mới do Apple thiết lập trong hệ điều hành mới nhất.
“Phần mềm độc hại tải xuống công cụ mở của riêng nó từ máy chủ C2 được ký sẵn chữ ký đặc biệt, trong khi nếu trên macOS phiên bản 10.15 trở xuống, nó sẽ vẫn sử dụng lệnh mở tích hợp sẵn của hệ thống để chạy các ứng dụng “, các nhà nghiên cứu của Trend Micro trước đây đã lưu ý.
Theo một bài viết mới được công ty an ninh mạng công bố, người ta đã phát hiện ra XCSSET chạy một tệp AppleScript độc hại để nén thư mục chứa dữ liệu Telegram (“~ / Library / Group Containers / 6N38VWS5BX.ru.keepcoder.Telegram”) vào một tệp lưu trữ ZIP, trước khi tải nó lên một máy chủ từ xa dưới sự kiểm soát của họ, do đó cho phép kẻ đe dọa đăng nhập bằng tài khoản nạn nhân.
Với Google Chrome, phần mềm độc hại cố gắng đánh cắp mật khẩu được lưu trữ trong trình duyệt web – lần lượt được mã hóa bằng mật khẩu chính được gọi là “khóa lưu trữ an toàn” – bằng cách lừa người dùng cấp đặc quyền root thông qua hộp thoại gian lận, lạm dụng các quyền nâng cao để chạy một lệnh shell trái phép để truy xuất khóa chính từ iCloud Keychain, sau đó nội dung được giải mã và truyền đến máy chủ.
Ngoài Chrome và Telegram, XCSSET cũng có khả năng lấy cắp thông tin có giá trị từ nhiều ứng dụng khác nhau như Evernote, Opera, Skype, WeChat cũng như các ứng dụng Danh bạ và Ghi chú của Apple bằng cách truy xuất dữ liệu đã nói từ các thư mục hộp cát tương ứng của chúng.
Các nhà nghiên cứu cho biết: “Việc phát hiện ra cách để có thể đánh cắp thông tin từ các ứng dụng khác nhau làm nổi bật mức độ mà phần mềm độc hại cố gắng lấy cắp nhiều loại thông tin khác nhau từ các hệ thống bị ảnh hưởng.
Fanpage: Trí Việt JSC ( Theo Thehackernews)