MacOS Malware XCSSET Jahat Sekarang Menargetkan Google Chrome, Perangkat Lunak Telegram

MacOS Malware XCSSET

Malware yang dikenal menargetkan sistem operasi macOS telah diperbarui sekali lagi untuk menambahkan lebih banyak fitur ke perangkatnya yang memungkinkannya mengumpulkan dan mengekstrak data sensitif yang disimpan di berbagai aplikasi, termasuk aplikasi seperti Google Chrome dan Telegram, sebagai bagian dari ” penyempurnaan dalam taktiknya.”

XCSSET tadinya terbongkar pada bulan Agustus 2020, ketika ditemukan menargetkan pengembang Mac menggunakan cara distribusi yang tidak biasa yang melibatkan penyuntikan muatan berbahaya ke dalam proyek IDE Xcode yang dijalankan pada saat membuat file proyek di Xcode.

Bacaan Lainnya

Malware ini hadir dengan berbagai kemampuan, seperti membaca dan membuang cookie Safari, menyuntikkan kode JavaScript berbahaya ke berbagai situs web, mencuri informasi dari aplikasi, seperti Notes, WeChat, Skype, Telegram, dan mengenkripsi file pengguna.

Awal April ini, XCSSET menerima pemutakhiran yang memungkinkan pembuat malware untuk menargetkan macOS 11 Big Sur serta Mac yang berjalan pada chipset M1 dengan menghindari kebijakan keamanan baru yang dilembagakan oleh Apple dalam sistem operasi terbaru.

Malware mengunduh alat terbukanya sendiri dari server C2 yang telah ditandatangani sebelumnya dengan tanda tangan ad-hoc, sedangkan jika berada di macOS versi 10.15 dan lebih rendah, itu masih akan menggunakan perintah buka bawaan sistem untuk menjalankan aplikasi. ,” kata peneliti Trend Micro sebelumnya.

Sekarang menurut sebuah artikel baru yang diterbitkan perusahaan keamanan siber pada hari Kamis, telah ditemukan bahwa XCSSET menjalankan file AppleScript berbahaya untuk mengompresi folder yang berisi data Telegram (“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram” ) ke dalam file arsip ZIP, sebelum mengunggahnya ke server jauh di bawah kendali mereka, sehingga memungkinkan pelaku ancaman untuk masuk menggunakan akun korban.

Dengan Google Chrome, malware mencoba mencuri kata sandi yang disimpan di browser web — yang pada gilirannya dienkripsi menggunakan kata sandi utama yang disebut “kunci penyimpanan aman” — dengan menipu pengguna agar memberikan hak akses root melalui kotak dialog palsu, menyalahgunakan izin yang ditinggikan untuk menjalankan perintah shell yang tidak sah untuk mengambil kunci master dari Rantai Kunci iCloud, setelah itu isinya didekripsi dan dikirim ke server.

Selain Chrome dan Telegram, XCSSET juga memiliki kapasitas untuk menjarah informasi berharga dari berbagai aplikasi seperti Evernote, Opera, Skype, WeChat, dan aplikasi Kontak dan Catatan Apple sendiri dengan mengambil data tersebut dari direktori kotak pasir masing-masing.

“Penemuan bagaimana ia dapat mencuri informasi dari berbagai aplikasi menyoroti sejauh mana malware secara agresif mencoba mencuri berbagai jenis informasi dari sistem yang terpengaruh,” kata para peneliti.

'+n+'...
'+a+"...
"}s+="",document.getElementById("result").innerHTML=s}}),t=!0)})}); //]]>

Pos terkait