Вредонос XCSSET известен тем, что его целью является пользователи macOS. Согласно исследованию TrendMicro, впервые он был обнаружен в августе 2020 года. В тот момент было установлено, что он нацелен на разработчиков Mac и использует необычные средства распространения, в том числе и внедрение полезной нагрузки в проекты Xcode IDE, которая исполняется во время создания файлов проектов в Xcode.

В своем недавнем обновлении была расширена функциональность зловреда, позволяющая ему собирать и извлекать конфиденциальные данные из таких приложений как Google Chrome и Telegram. Также среди его новых возможностей - внедрение вредоносного кода на JavaScript для различных сайтов, извлечение информации и из других приложений: Notes, Contacts, WeChat, Skype, с дальнейшим шифрованием пользовательских файлов на системе.

XCSSET уже обновлялся в апреле этого года. Предыдущее обновление позволило авторам ВПО атаковать macOS 11 Big Sur и Mac, работающие на чипсете M1, путем обхода новых политик безопасности, установленных Apple в последней версии операционной системы.

Согласно новому отчету, опубликованному вчера (22 июля), было обнаружено, что XCSSET запускает вредоносный файл на AppleScript для сжатия папки, содержащей данные Telegram ("~ / Library / Group Containers / 6N38VWS5BX.ru.keepcoder.Telegram" ) в ZIP файл, перед тем, как загружать его на удаленный C&C-сервер, что позволяет злоумышленнику войти в систему, используя полученные учетные данные.

В Google Chrome вредонос пытается извлечь пароли, хранящиеся в веб-браузере, которые, в свою очередь, зашифрованы с использованием главного пароля, называемого «ключом безопасного хранения», путем обмана пользователя с целью предоставления привилегий root через фейковое диалоговое окно. Далее выполняется запуск командной оболочки для получения главного ключа из цепочки ключей iCloud, после чего содержимое расшифровывается и передается на сервер.

Новые изменения в поведении XCSSET и то, как вредонос может извлекать информацию из популярных приложений, демонстрирует, насколько агрессивно авторы готовы действовать для получения конфиденциальных данных с затронутых систем.