بدافزار XCSSET به سراغ تلگرام و گوگل کروم میرود
اخبار داغ فناوری اطلاعات و امنیت شبکه
یک بدافزار که با اقداماتی چون هدف قرار دادن سیستم عامل macOS شناخته میشد، بار دیگر به روز شده است تا ویژگی های بیشتری را به مجموعه حملات خود اضافه کند. این ویژگی های جدید به مهاجم امکان می دهد داده های حساس ذخیره شده در برنامه های مختلف از جمله برنامه هایی مانند Google Chrome و Telegram را به عنوان بخشی از امکانات جدید خود با نام "اصلاحات در تاکتیک ها"، جمع آوری کرده و یا حتی از بین ببرد.
بدافزار XCSSET در ماه آگوست سال 2020 و زمانی که مشخص شد هدفگیری توسعه دهندگان Mac با استفاده از یک روش غیر معمول توزیع که شامل تزریق دیتای مخرب به پروژه های Xcode IDEیست که در زمان ساخت پرونده های پروژه در Xcode اجرا شده است، کشف شد.
این بدافزار دارای قابلیت های بی شماری از جمله خواندن و دامپینگ کوکی های Safari، تزریق کد مخرب جاوا اسکریپت به وب سایت های مختلف، سرقت اطلاعات از برنامه هایی مانند Notes ،WeChat ،Skype ،Telegram و رمزگذاری فایل های کاربر است.
به نقل از هکر نیوز، اوایل آوریل امسال، XCSSET یک ارتقا و برزورسانی را دریافت کرد که به کدنویسان بدافزار امکان می دهد macOS 11 Big Sur و همچنین Mac هایی را که با چیپ ست M1 کار می کنند، با دور زدن پالیسی های امنیتی جدیدی که اپل در جدیدترین سیستم عامل ایجاد کرده است، هدف قرار دهند.
محققان Trend Micro قبلاً اشاره کرده بودند که: "این بدافزار اوپن تول خود را از سرور C2 متعلق به خود که از قبل با امضای ad-hoc امضا شده را دانلود میکند؛ در حالی که اگر در نسخه های MacOS نسخه 10.15 و پایین تر بود، همچنان برای اجرای برنامه ها از اوپن کامند داخلی سیستم استفاده می کرد".
بر اساس نوشته جدیدی که روز پنجشنبه توسط شرکت امنیت سایبری منتشر شد، مشخص گردید که XCSSET یک فایل مخرب AppleScript را برای فشرده سازی فولدر حاوی داده های تلگرام ("~ / Library / Group Containers / 6N38VWS5BX.ru.keepcoder.Telegram") ) را در یک فایل بایگانی ZIP و قبل از بارگذاری آن در یک سرور از راه دور تحت کنترل مهاجمین، اجرا مینماید. و به متعاقب آن عامل تهدید را قادر می سازد با استفاده از حساب های قربانی وارد سیستم شود.
با استفاده از گوگل کروم، بدافزار سعی می کند رمزهای عبور ذخیره شده در مرورگر وب را که به نوبه خود با استفاده از یک رمز عبور اصلی به نام "کلید ذخیره سازی امن" رمزگذاری می شوند، را دزدیده و با سواستفاده از مجوزهای جعلی، کاربر را به اعطای اختیارات اصلی از طریق دیالوگ باکس جعلی، برای اجرای یک دستور shell غیرمجاز جهت بازیابی رمز اصلی از iCloud Keychain، که تحت آن محتویات رمزگشایی شده و به سرور منتقل می شوند، ترغیب نماید.
جدا از کروم و تلگرام، XCSSET همچنین با بازیابی داده های گفته شده از فهرست های sandbox مربوطه خود، توانایی به سرقت بردن اطلاعات ارزشمند از برنامه های مختلف مانند Evernote ،Opera ،Skype ،WeChat و برنامه های تماس و یادداشت های خود اپل را نیز دارد.
محققان اعلام کرده اند: "کشف چگونگی سرقت اطلاعات از برنامه های مختلف، درجه و میزان تلاش بدافزار برای سرقت انواع متنوع اطلاعات از سیستم های آسیب دیده را برجسته می کند".
برچسب ها: WeChat, مک, Opera, Mac, XCSSET, Xcode, گوگل کروم, macOS, Safari, cybersecurity, Google Chrome, Apple, اپل, malware, Skype, Telegram, بدافزار, امنیت سایبری, تلگرام, Cyber Attacks, حمله سایبری