近期,，安全研究人員發(fā)布了有關(guān)一系列MacOS惡意軟件從多個(gè)應(yīng)用程序中竊取登錄信息的方法的詳細(xì)信息，使其幕后操控者能夠竊取賬戶(hù),，密碼等敏感信息,。

　　被稱(chēng)為XCSSET的惡意軟件不斷發(fā)展，一年多來(lái)一直通過(guò)感染本地Xcode項(xiàng)目來(lái)針對(duì)macOS開(kāi)發(fā)人員,。

　　竊取電報(bào)賬戶(hù),、Chrome密碼等敏感數(shù)據(jù)

　　XCSSET從受感染的計(jì)算機(jī)收集屬于某些應(yīng)用程序的敏感信息文件，并將它們發(fā)送到命令和控制 （C2） 服務(wù)器,。

　　目標(biāo)應(yīng)用程序之一是Telegram即時(shí)消息軟件,。惡意軟件為Group Containers目錄下的“keepcoder.Telegram”文件夾創(chuàng)建存檔“telegram.applescript”。

　　竊取Telegram文件夾的XCSSET腳本

　　收集Telegram文件夾允許黑客以賬戶(hù)的合法所有者身份登錄電報(bào)應(yīng)用程序,。趨勢(shì)科技的研究人員解釋說(shuō),，如果將被盜文件夾復(fù)制到另一臺(tái)安裝了Telegram的機(jī)器上,，攻擊者便可以訪(fǎng)問(wèn)受害者的賬戶(hù)。

　　XCSSET可以通過(guò)這種方式竊取敏感數(shù)據(jù),，因?yàn)槠胀ㄓ脩?hù)可以訪(fǎng)問(wèn)具有讀寫(xiě)權(quán)限的Application沙箱目錄,。“并非所有的可執(zhí)行文件都在 macOS 上進(jìn)行了沙盒處理,，這意味著一個(gè)簡(jiǎn)單的腳本就可以竊取沙盒目錄中存儲(chǔ)的所有數(shù)據(jù)”,。

　　研究人員還分析了用于竊取谷歌瀏覽器中保存的密碼的方法，這種技術(shù)需要用戶(hù)交互,，至少自2016年以來(lái)就已被捕獲,。威脅行為者需要獲取安全存儲(chǔ)密鑰，該密鑰作為“Chrome 安全存儲(chǔ)”存儲(chǔ)在用戶(hù)的鑰匙串中,。但是,，他們使用虛假對(duì)話(huà)框來(lái)誘騙用戶(hù)授予管理員權(quán)限，以執(zhí)行攻擊者的所有必要操作,，以獲取可以解密Chrome中存儲(chǔ)的密碼的安全存儲(chǔ)密鑰,。

　　請(qǐng)求管理員權(quán)限的XCSSET腳本

　　解密后，所有數(shù)據(jù)都會(huì)發(fā)送到攻擊者的命令和控制服務(wù)器,。XCSSET中還存在類(lèi)似的腳本,，用于從其他應(yīng)用程序竊取敏感數(shù)據(jù)：微信、聯(lián)系人,、印象筆記,、筆記、Opera,、Skype,。

　　趨勢(shì)科技研究人員表示，他們分析的最新版本的XCSSET還具有更新的C2服務(wù)器列表和新的“金絲雀”模塊,，用于在實(shí)驗(yàn)性Chrome Canary網(wǎng)絡(luò)瀏覽器中進(jìn)行跨站點(diǎn)腳本 （XSS） 注入,。

　　盡管惡意軟件的最新更新遠(yuǎn)未增加重要功能，但它們表明XCSSET正在不斷發(fā)展和適應(yīng),。

　　XCSSET的目標(biāo)是最新的macOS 版本（當(dāng)前為 Big Sur）,，過(guò)去曾有人發(fā)現(xiàn)利用零日漏洞來(lái)繞過(guò)對(duì)完整磁盤(pán)訪(fǎng)問(wèn)的保護(hù)并獲取來(lái)自用戶(hù)的明確內(nèi)容。

　　安裝的MAC版殺毒軟件

　　綜上你可以看這個(gè)惡意軟件專(zhuān)門(mén)針對(duì)MAC高階的程序員,，往往這些小伙伴都是以為自己能力足夠強(qiáng)大,，對(duì)安裝殺毒軟件也是不以為然的，此惡意軟件正是利用了這種心理,。家人們啦,，不要再相信Mac電腦無(wú)比安全一說(shuō)，殺毒軟件還是要安裝的,。