近期，安全研究人員發(fā)布了有關(guān)一系列MacOS惡意軟件從多個(gè)應(yīng)用程序中竊取登錄信息的方法的詳細(xì)信息，使其幕后操控者能夠竊取賬戶，密碼等敏感信息。

　　被稱為XCSSET的惡意軟件不斷發(fā)展，一年多來一直通過感染本地Xcode項(xiàng)目來針對(duì)macOS開發(fā)人員。

　　竊取電報(bào)賬戶、Chrome密碼等敏感數(shù)據(jù)

　　XCSSET從受感染的計(jì)算機(jī)收集屬于某些應(yīng)用程序的敏感信息文件，并將它們發(fā)送到命令和控制 （C2） 服務(wù)器。

　　目標(biāo)應(yīng)用程序之一是Telegram即時(shí)消息軟件。惡意軟件為Group Containers目錄下的“keepcoder.Telegram”文件夾創(chuàng)建存檔“telegram.applescript”。

　　竊取Telegram文件夾的XCSSET腳本

　　收集Telegram文件夾允許黑客以賬戶的合法所有者身份登錄電報(bào)應(yīng)用程序。趨勢(shì)科技的研究人員解釋說，如果將被盜文件夾復(fù)制到另一臺(tái)安裝了Telegram的機(jī)器上，攻擊者便可以訪問受害者的賬戶。

　　XCSSET可以通過這種方式竊取敏感數(shù)據(jù)，因?yàn)槠胀ㄓ脩艨梢栽L問具有讀寫權(quán)限的Application沙箱目錄。“并非所有的可執(zhí)行文件都在 macOS 上進(jìn)行了沙盒處理，這意味著一個(gè)簡(jiǎn)單的腳本就可以竊取沙盒目錄中存儲(chǔ)的所有數(shù)據(jù)”。

　　研究人員還分析了用于竊取谷歌瀏覽器中保存的密碼的方法，這種技術(shù)需要用戶交互，至少自2016年以來就已被捕獲。威脅行為者需要獲取安全存儲(chǔ)密鑰，該密鑰作為“Chrome 安全存儲(chǔ)”存儲(chǔ)在用戶的鑰匙串中。但是，他們使用虛假對(duì)話框來誘騙用戶授予管理員權(quán)限，以執(zhí)行攻擊者的所有必要操作，以獲取可以解密Chrome中存儲(chǔ)的密碼的安全存儲(chǔ)密鑰。

　　請(qǐng)求管理員權(quán)限的XCSSET腳本

　　解密后，所有數(shù)據(jù)都會(huì)發(fā)送到攻擊者的命令和控制服務(wù)器。XCSSET中還存在類似的腳本，用于從其他應(yīng)用程序竊取敏感數(shù)據(jù)：微信、聯(lián)系人、印象筆記、筆記、Opera、Skype。

　　趨勢(shì)科技研究人員表示，他們分析的最新版本的XCSSET還具有更新的C2服務(wù)器列表和新的“金絲雀”模塊，用于在實(shí)驗(yàn)性Chrome Canary網(wǎng)絡(luò)瀏覽器中進(jìn)行跨站點(diǎn)腳本 （XSS） 注入。

　　盡管惡意軟件的最新更新遠(yuǎn)未增加重要功能，但它們表明XCSSET正在不斷發(fā)展和適應(yīng)。

　　XCSSET的目標(biāo)是最新的macOS 版本（當(dāng)前為 Big Sur），過去曾有人發(fā)現(xiàn)利用零日漏洞來繞過對(duì)完整磁盤訪問的保護(hù)并獲取來自用戶的明確內(nèi)容。

　　安裝的MAC版殺毒軟件

　　綜上你可以看這個(gè)惡意軟件專門針對(duì)MAC高階的程序員，往往這些小伙伴都是以為自己能力足夠強(qiáng)大，對(duì)安裝殺毒軟件也是不以為然的，此惡意軟件正是利用了這種心理。家人們啦，不要再相信Mac電腦無比安全一說，殺毒軟件還是要安裝的。