Программа XCSSET,
изначально атакующая разработчиков ПО для macOS,
обзавелась функциями кражи данных из множества приложений. Одна из причин —
недостатки «песочницы» macOS.
В прицеле Telegram
Эксперты Trend Micro опубликовали исследование, посвященное вредоносной программе XCSSET. Она уже более года атакует системы под macOS. Основной метод проникновения
в систему — инъекция вредоносного кода в локальные проекты Xcode по разработке ПО для macOS. Вредонос начинает
срабатывать после компиляции проекта.
XCSSET постепенно обрастает новой функциональностью, и в недавних версиях
добавилась возможность красть данные из клиентов Telegram и пароли, хранящиеся в Google Chrome.
Для кражи данных из Telegram вредонос создает
архив telegram.applescript в папке keepcoder.Telegram (в Group Containers). Как выяснили
эксперты Trend Micro,
достаточно скопировать весь каталог ~/Library/GroupContainers/6N38VWS5BX.ru.keepcoder.Telegram с одного Mac на другой, чтобы при открытии Telegram на второй машине
клиент уже был залогинен как легитимный пользователь с первого Mac. Таким образом, легко
осуществить перехват аккаунта и получить доступ к любой переписке.
«В macOS папка “песочницы” для приложений — ~/Library/Containers/com.xxx.xxx и ~/Library/GroupContainers/com.xxx.xxx —
доступна обычным пользователям с правами на чтение и запись. Этим она
отличается от практики на iOS. Не все исполняемые файлы в macOS изолируются, а это означает, что простой скрипт
может украсть все данные, хранящиеся в папке “песочницы”, — говорится в
исследовании TrendMicro. —
Разработчикам приложений мы рекомендуем воздержаться от хранения важных данных
в папке “песочницы”, особенно тех, что связаны с логинами».
Chrome и
другие
Эксперты также
проанализировали метод кражи паролей, хранящихся в Google Chrome. Этот метод известен как минимум с 2016 г. Он
предполагает получение ключа безопасного хранения (Safe Storage Key) к Chrome, который сам располагается в пользовательской
связке ключей.
Тут на помощь
злоумышленникам приходит социальная инженерия: с помощью обманного диалогового
окна у пользователя выманиваются административные привилегии, так что
злоумышленники могут расшифровать все пароли к Chrome и вывести их на удаленный сервер.
XCSSET содержит скрипты для кражи данных из таких приложений как «Контакты», «Заметки»,
Evernote, Opera, Skype и WeChat. Кроме того, эксперты обнаружили модуль для атаки
межсайтового скриптинга на экспериментальный браузер Chrome Canary. XCSSET срабатывает на последней версии macOS под названием BigSur.
Любопытно, что операторы
вредоноса постоянно меняют домены для контрольных серверов XCSSET. В июне 2021 г.,
например, они использовали сразу четыре домена в зоне .ru, однако затем неожиданно отключили их. Пока
экспертам TrendMicro не
удается идентифицировать новые домены контрольных серверов. Известны два IP-адреса, но, по-видимому,
ими операторы вредоноса больше не пользуются.
«По большому счету, речь
идет о крупной проблеме с безопасностью
реализации Telegram в macOS и недостаточности защиты “песочницы”, —
говорит Алексей Водясов, технический директор компании SEC Consult Services. —
Клонировать аккаунт простым копированием всего каталога не должно быть возможно
в принципе. Вдобавок возникают вопросы к настройкам “песочницы” в macOS. С
другой стороны, сперва необходимо занести в систему вредоносную программу, а в
macOS немало средств для борьбы с этим. Сторонние антивирусы под macOS также
детектируют XCSSET».