Programele malware pentru MacOS fură conturile Telegram și datele Google Chrome
Jul 28, 2021    
News, International, Diverse, Articole    
304

Programele malware pentru MacOS fură conturile Telegram și datele Google Chrome

Cercetătorii în domeniul securității au publicat detalii despre metoda utilizată de o serie de programe malware MacOS pentru a fura informații de conectare din mai multe aplicații, permițându-le operatorilor să fure conturi.

Malware-ul sub denumirea XCSSET, continuă să evolueze și vizează dezvoltatorii macOS de mai bine de un an prin infectarea proiectelor locale Xcode, sursa: newsroom.trendmicro.com.

Furt de conturi Telegram, parole Chrome
XCSSET colectează de pe computerele infectate fișiere cu informații sensibile aparținând anumitor aplicații și le trimite către serverul C2 de comandă și control.

Una dintre aplicațiile vizate este software-ul de mesagerie instant Telegram. Programul malware creează arhiva „telegram.applescript” pentru folderul „keepcoder.Telegram” din directorul Containere de grup.

Colectarea dosarului Telegram permite hackerilor să se conecteze la aplicația de mesagerie ca proprietar legitim al contului.

Cercetătorii de la Trend Micro explică faptul că copierea folderului furat pe o altă mașină cu Telegram instalat oferă atacatorilor acces la contul victimei.

XCSSET poate fura date sensibile, deoarece utilizatorii normali pot accesa directorul sandbox al aplicației cu permisiuni de citire și scriere.

Cercetătorii au analizat de asemenea metoda utilizată pentru a fura parolele salvate în Google Chrome, o tehnică care necesită interacțiunea utilizatorului și care a fost descrisă cel puțin din 2016.

Actorul de amenințare trebuie să obțină cheia de stocare sigură, care este stocată în brelocul utilizatorului sub numele de „stocare sigură Chrome”.

Cu toate acestea, utilizează un dialog fals pentru a păcăli utilizatorul să acorde privilegii de administrator tuturor operațiunilor atacatorului necesare pentru a obține cheia de stocare sigură care poate decripta parolele stocate în Chrome.

Odată decriptate, toate datele sunt trimise către serverul de comandă și control al atacatorului. Scripturi similare există în XCSSET pentru a fura date sensibile din alte aplicații: Contacte, Evernote, Note, Opera, Skype, WeChat.

Cercetătorii Trend Micro spun că cea mai recentă versiune de XCSSET pe care au analizat-o are, de asemenea, o listă actualizată de servere C2 și un nou modul „canar” pentru injecții de site-uri de tip cross-site (XSS) în browserul web experimental Chrome Canary.

Deși actualizările recente ale malware-ului sunt departe de a adăuga caracteristici semnificative, acestea arată că XCSSET evoluează și se adaptează continuu.

XCSSET vizează cea mai recentă versiune macOS (în prezent Big Sur) și a fost văzută în trecut ca având o vulnerabilitate zero day pentru a ocoli protecțiile pentru acces complet la date și pentru a evita conținutul explicit de la utilizator.