CNews недавно опубликовало материал, основанный на результатах исследований Trend Micro, компании, занимающейся вопросами кибербезопасности, о том, что вредоносное ПО под названием XCSSET, применяемое с самого начала для проведения атак на создателей ПО для macOS получило новые навыки – стало занмать кражей сведения из различных приложений.

Злоумышленники, чтобы распространить данный вирус, в Xcode (локальные проекты по созданию программного обеспечения для macOS) внедряют вредоносный код. XCSSET практически сразу после компиляции начинают работать. В материале говорится, что вредонос продолжает развиваться и обзаводиться новым функционалом – возможностью воровать из Гугл Хром пароли и из Телеграм сведения.

XCSSET в ходе работы формирует архив в соответствующей папке, именуемый telegram.applescript. В итоге достаточно просто с одного устройства Mac на аналогичное другое полностью скопировать соответствующий каталог, и при запуске Телеграм на другом устройстве человек будет авторизован под теми же данными, что и на первом. Это дает возможность киберпреступникам начать контролировать учетки и чаты.

В материале Trend Micro сказано, что папка «песочницы» в macOS для определенных приложений доступна простым пользователям, имеющим права на запись, а также чтение. В этом заключается ее отличие от того, что происходит на iOS. Так как изолируются далеко не все файлы, то обычный скрипт способен информацию из папки «песочницы» украсть. Специалисты компании рекомендуют создателям приложений не хранить важную информацию в данной папке. Особенно это касается тех данных, которые имеют связь с логинами.

Если говорить о воровстве паролей из Гугл Хром, то в данном случае мошенники получают ключ безопасности, находящийся среди ключей пользователя. Злоумышленники, используя приемы социнженерии, обманом получают от своей жертвы право стать администратором, а значит и возможность посмотреть пароли, которые находятся в Хром. Вредонос содержит и скрипты, позволяющие украсть информацию из ряда приложений, среди которых Skype, «Заметки», «Контакты» и прочие. Кроме этого был обнаружен и модуль, предназначенный для кибератаки скриптинга на Chrome Canary.