macOS ortamında çalışan ve geliştiricileri hedefleyen XCSSET adlı kötü amaçlı yazılım, Telegram ve Google Chrome’u da hedef alıyor.
macOS işletim sistemini hedef alan XCSSET isimli kötü amaçlı yazılım, araştırmacılara göre Google Chrome ve Telegram gibi uygulamalardan veri çalmak amacıyla çeşitli yeni özellikler kazandı. Saldırganlar böylece daha fazla uygulamadan veri sızdırmayı planlıyor.
XCSSET isimli zararlı yazılım, geçtiğimiz sene Ağustos ayında Trend Micro araştırmacıları tarafından tespit edilmişti. Xcode üzerinde geliştirmeler yapan programcıları hedef alan bu zararlının asıl amacı ise geliştirilen projelere kötü amaçlı kodlarını dahil etmek. Trend Micro’nun yazdığı rapora göre GitHub üzerinde bilmeden XCSSET tarafından zararlı kodlar dahil edilen birçok proje bulunuyor. Bu nedenle XCSSET’e bir nevi “supply chain attack” yani tedarik zinciri saldırısında kullanma düşüncesiyle yazılmış kötü amaçlı program diyebiliriz.
Ayrıca bu macOS zararlısı Safari tarayıcısında kullanılan çerezleri çalmak, web sitelerine kötü amaçlı JavaScript kodları eklemek; Skype, Telegram, WeChat, Evernote, Opera, Notlar gibi uygulamalardan bilgi sızdırmak, kullanıcıların dosyalarını şifreleyip fidye istemek gibi sayısız yeteneğe sahip.
Henüz bu Nisan ayının başında bir güncelleme daha alan XCSSET, artık M1 yonga setli Mac’lerde de çalışabilir hale geldi. Apple güvenlik politikalarını rahatlıkla atlatabilen bu zararlı yazılım macOS Big Sur 11‘i de destekliyor.
Trend Micro’ya göre XCSSET güncel sistemlerde geçici bir imza yardımıyla C2 yani komuta kontrol sunucusundan kendi zararlı yükünü indirirken, macOS’un 10.15 veya çok daha düşük sürüme sahip olan versiyonlarda ise zararlıyı indirmek için sistemin güvenlik açıklarını kullanıyor. Güvenlik devinin yayınladığı yeni bir rapora göreyse zararlı yazılımın Telegram verilerini sıkıştırmak için kötü amaçlı bir AppleScript‘ini çalıştırdığı görüldü.
Google Chrome verilerini çalmak içinse kullanıcılardan sahte bir pencere yardımıyla root izni istiyor ve root haklarını kullanarak güvenlik anahtarını alıyor. Daha sonra aldığı bu anahtar yardımıyla web tarayıcısında depolanan şifreleri çalıp saldırganlara iletiyor.
Saldırganların son zamanlarda macOS sistemlere oldukça fazla ilgi duyması ve bu tarz gelişmiş kötü amaçlı yazılımlar geliştirmeleri macOS sistemlere virüs bulaşmaz şeklindeki gerçek olmayan şehir efsanelerinin sonunu getirecek gibi duruyor.
