El desagradable malware XCSSET para macOS ahora está dirigido a Google Chrome, el software de Telegram

software malintencionado XCSSET para macOS

El malware, conocido por apuntar al sistema operativo macOS, se actualizó nuevamente para agregar funciones adicionales a su conjunto de herramientas que le permiten recopilar y filtrar datos confidenciales almacenados en varias aplicaciones, incluidas aplicaciones como Google Chrome y Telegram, como parte de otro » Mejoras en sus tácticas».

XCSSET se presentó en agosto de 2020, cuando se descubrió que apuntaba a los desarrolladores de Mac a través de un método de distribución inusual que implicaba insertar carga maliciosa en proyectos IDE de Xcode que se ejecutan al momento de crear archivos de proyecto de Xcode.

El malware viene con muchas funciones, como leer y almacenar cookies de Safari, incrustar código JavaScript malicioso en varios sitios web, robar información de aplicaciones como Notes, WeChat, Skype, Telegram y cifrar archivos de usuario.

A principios de abril, recibió una actualización de XCSSET que permitió a los autores de malware apuntar a macOS 11 Big Sur, así como a las Mac que se ejecutan en conjuntos de chips M1, eludiendo las nuevas políticas de seguridad introducidas por Apple en el sistema operativo más reciente.

«El malware descarga su propia utilidad abierta desde su servidor C2, que está prefirmado con una firma ad-hoc, mientras que si estuviera en macOS versión 10.15 y anterior, aún usaría el comando de apertura del sistema para ejecutar aplicaciones. Los investigadores de Trend Micro dijeron anteriormente.

Ahora, según una nueva entrada publicada el jueves por ciberseguridad, XCSSET descubrió que se está ejecutando un archivo AppleScript malicioso para comprimir una carpeta que contiene datos de Telegram («~ / Library / Group Containers / 6N38VWS5BX.ru.keepcoder.Telegram») en un ZIP archivar el archivo antes de cargarlo en un servidor remoto bajo su control, lo que permite que el autor de la amenaza inicie sesión con las cuentas de las víctimas.

En Google Chrome, el malware intenta robar contraseñas almacenadas en un navegador web, que a su vez está encriptado con una contraseña maestra llamada «clave de almacenamiento seguro», engañando a los usuarios para que otorguen privilegios de root a través de un cuadro de diálogo fraudulento y abusando de los privilegios elevados. ejecute un comando de shell no autorizado para recuperar la clave maestra del llavero de iCloud, luego el contenido se descifra y se transfiere al servidor.

Además de Chrome y Telegram, XCSSET también tiene la capacidad de saquear información valiosa de una variedad de aplicaciones, como Evernote, Opera, Skype, WeChat y Apple Contacts and Notes al recuperar esos datos de sus respectivos directorios de cuarentena.

«El descubrimiento de cómo puede robar información de diferentes aplicaciones destaca hasta qué punto el malware intenta robar de forma agresiva diferentes tipos de información de los sistemas afectados», dijeron los investigadores.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática