بدافزار سیستم عامل مک، اطلاعات حساب تلگرام و دیتای گوگل کروم را به سرقت میبرد.

بدافزار سیستم عامل مک، اطلاعات حساب تلگرام و دیتای گوگل کروم را به سرقت میبرد.

محققان امنیتی، جزییات روشی که توسط یک بدافزار سیستم عامل مک استفاده میشود را منتشر کردند. این بدافزار اطلاعات حساب کاربری را از چندین برنامه سرقت میکند.

محققان امنیتی، جزییات روشی که توسط یک بدافزار سیستم عامل مک استفاده میشود را منتشر کردند. این بدافزار اطلاعات حساب کاربری را از چندین برنامه سرقت میکند.
این بدافزار که XCSSET نام دارد، به صورت مداوم در حال گسترش است و برای بیش از یکسال است که با آلوده کردن پروژه های Xcode محلی، توسعه دهندگان سیستم عامل مک را مورد هدف قرار میدهد.
دزدی حساب های تلگرام و رمز عبور های کروم
این بدافزار اطلاعات حساس مربوط به تعدادی از برنامه ها را به سرقت برده و به سرور Command and control ارسال میکند.
یکی از برنامه های مورد هدف قرار گرفته شده تلگرام است. این بدافزار آرشیو فایل “telegram.applescript” برای پوشه‌ی “keepcoder.telegram” میسازد. 

ویروس مک

جمع آوری اطلاعات پوشه‌ی تلگرام به هکر این اجازه را میدهد که بتواند با اطلاعات فرد قربانی وارد حساب تلگرام شود.
محققان توضیح داده اند که کپی کردن پوشه‌ی دزدیده شده بر روی یک دستگاه دیگر که تلگرام در آن نصب شده است به افراد هکر دسترسی به حساب قربانی را میدهد.
محققان همچنین روشی که در آن رمز عبور های ذخیره در گوگل را نیز به سرقت میرفت بررسی کردند، روشی که نیازمند انفعال کاربر است و از سال 2016 تاکنون شناخته شده است.
فرد هکر نیازمند این است که کلید امن محل ذخیره ( Safe Storage Key ) را بدست آورد، که در keychain کاربر به نام “Chrome Safe Storage” ذخیره شده است.
اگرچه، آن ها از یک دیالوگ جعلی جهت گمراه کردن کاربر استفاده میکنند تا کاربر دسترسی ضروری را برای عملیات های فرد که برای بدست آوردن Safe Key Storage است را بدهد. فرد هکر از این کلید برای رمزگشایی رمز عبور های موجود در گوگل کروم استفاده میکند.

ویروس مک


زمانی که رمزگشایی به پایان برسد، تمام اطلاعات به سرور command and control فرد هکر فرستاده میشود. اسکریپت های مشابه در XCSSET، برای دزدی اطلاعات حساس از بقیه برنامه ها موجود هستند : Contacts, Evernote, Notes, Opera, Skype, WeChat و ... .
همچنین محققان با بررسی آخرین نسخه‌ی XCSSET یافته اند که این بدافزار لیست به روز شده ای از سرور های C2 دارد و شامل یک ماژول جدید “Canary” است مربوط به تزریق اسکریپت از طریق وبگاه ( XSS ) مختص نسخه Canary گوگل کروم.
در حالی که به روز رسانی های جدید این بدافزار خیلی دور تر از این هستند که قابلیت خاصی به آن اضافه کنند، نشان میدهند که بدافزار XCSSET همچنان در حال تکامل و به روزرسانی است.
این بدافزار که آخرین نسخه های سیستم عامل مک را مورد هدف قرار میدهد ( در حال حاضر Big Slur ) در گذشته در آسیب پذیری های zero-day که با دور زدن امنیت سیستم به دیسک دسترسی کامل پیدا میکرد دیده شده است.

منبع : www.bleepingcomputer.com