Fiese macOS-Malware XCSSET zielt jetzt auf Google Chrome, Telegram-Software

  • Eine Malware, die dafür bekannt ist, das Betriebssystem macOS ins Visier zu nehmen, wurde erneut aktualisiert, um weitere Funktionen zu ihrem Toolset hinzuzufügen, die es ihr ermöglichen, sensible Daten, die in einer Vielzahl von Apps gespeichert sind, zu sammeln und zu exfiltrieren, einschließlich Apps wie Google Chrome und Telegram, als Teil weiterer “Verfeinerungen ihrer Taktik”.

    XCSSET wurde im August 2020 entdeckt, als es Mac-Entwickler mit einer ungewöhnlichen Verbreitungsmethode angriff, bei der eine bösartige Nutzlast in Xcode-IDE-Projekte injiziert wurde, die zum Zeitpunkt der Erstellung von Projektdateien in Xcode ausgeführt wird.

    [Blocked Image: https://thehackernews.com/images/-W-YXfspkl8I/YMt1op6vO6I/AAAAAAAA4Q4/SnWv_Gbl-RMg2BM3YaU9IL1sLek-JjiUACLcBGAsYHQ/s728-e100/free-ad-9-728.png]

    Die Malware verfügt über zahlreiche Fähigkeiten, wie z. B. das Lesen und Ablegen von Safari-Cookies, das Einfügen von bösartigem JavaScript-Code in verschiedene Websites, das Stehlen von Informationen aus Anwendungen wie Notes, WeChat, Skype, Telegram und das Verschlüsseln von Benutzerdateien.

    Anfang April dieses Jahres erhielt XCSSET ein Upgrade, das es den Malware-Autoren ermöglichte, macOS 11 Big Sur sowie Macs mit M1-Chipsatz ins Visier zu nehmen, indem sie neue Sicherheitsrichtlinien umgingen, die von Apple im neuesten Betriebssystem eingeführt wurden.

    “Die Malware lädt ein eigenes Open-Tool von ihrem C2-Server herunter, das mit einer Ad-hoc-Signatur vorsigniert ist, während sie bei macOS-Versionen 10.15 und niedriger immer noch den integrierten Open-Befehl des Systems verwenden würde, um die Apps auszuführen”, haben die Trend Micro-Forscher zuvor festgestellt.

    [Blocked Image: https://thehackernews.com/images/-D6WDpJnkISs/YPqxcjanBnI/AAAAAAAADT8/fi-gYrNP8sE4ftsjcLfqOC8WRfpH5RxgwCLcBGAsYHQ/s0/macos-malware.jpg]

    Laut einem neuen Bericht, den die Cybersecurity-Firma am Donnerstag veröffentlichte, wurde nun entdeckt, dass XCSSET eine bösartige AppleScript-Datei ausführt, um den Ordner mit Telegram-Daten (“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”) in eine ZIP-Archivdatei zu komprimieren, bevor er sie auf einen Remote-Server unter ihrer Kontrolle hochlädt, wodurch sich der Bedrohungsakteur mit den Opferkonten anmelden kann.

    [Blocked Image: https://thehackernews.com/images/-SBDa0OwIyQY/YLy9M341QGI/AAAAAAAA4BM/m6-TrBrJenABekCqMu1Gp2XbmtAaeHd9ACLcBGAsYHQ/s300-e100/auth_300.jpg]

    Bei Google Chrome versucht die Malware, im Webbrowser gespeicherte Passwörter zu stehlen – die wiederum mit einem Master-Passwort namens “Safe Storage Key” verschlüsselt sind -, indem sie den Benutzer über ein betrügerisches Dialogfeld dazu verleitet, Root-Rechte zu gewähren, und die erhöhten Berechtigungen dazu missbraucht, einen nicht autorisierten Shell-Befehl auszuführen, um den Master-Schlüssel aus dem iCloud-Schlüsselbund abzurufen, woraufhin die Inhalte entschlüsselt und an den Server übertragen werden.

    Neben Chrome und Telegram ist XCSSET auch in der Lage, wertvolle Informationen aus einer Vielzahl von Apps wie Evernote, Opera, Skype, WeChat und den Apple-eigenen Apps Kontakte und Notizen zu erbeuten, indem es diese Daten aus ihren jeweiligen Sandbox-Verzeichnissen abruft.

    “Die Entdeckung, wie es Informationen aus verschiedenen Apps stehlen kann, unterstreicht das Ausmaß, in dem die Malware aggressiv versucht, verschiedene Arten von Informationen von betroffenen Systemen zu stehlen”, so die Forscher.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com