令人讨厌的macOS恶意软件XCSSET现在的目标是谷歌Chrome和电报软件

一个以攻击macOS操作系统而闻名的恶意软件再次被更新，为其工具集添加了更多功能，使其能够收集和过滤存储在各种应用程序中的敏感数据，包括谷歌Chrome和Telegram等应用程序，作为其进一步“策略改进”的一部分

XCSSET于2020年8月被发现，当时它被发现使用一种不寻常的分发方式，将恶意负载注入在Xcode中构建项目文件时执行的Xcode IDE项目中，以Mac开发人员为目标。

该恶意软件具有多种功能，例如读取和转储Safari Cookie，向各种网站注入恶意JavaScript代码，从Notes、微信、Skype、电报等应用程序窃取信息，以及加密用户文件。

今年4月早些时候，XCSET收到了一次升级，使恶意软件作者能够绕过苹果在最新操作系统中制定的新安全策略，以macOS 11 Big Sur以及运行在M1芯片组上的Mac为目标。

Trend Micro的研究人员此前指出：“该恶意软件从其C2服务器下载自己的开放式工具，该工具带有预先签署的特别签名，而如果是在macOS 10.15及更低版本上，它仍然会使用系统内置的开放式命令来运行应用程序。”。

现在，根据网络安全公司周四发布的一篇新文章，已经发现XCSSET运行一个恶意的AppleScript文件，将包含电报数据的文件夹（“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”）压缩成ZIP存档文件，然后上传到他们控制下的远程服务器，从而使威胁参与者能够使用受害者帐户登录。

谷歌Chrome恶意软件试图窃取存储在网络浏览器中的密码—；然后使用名为“安全存储密钥”的主密码对其进行加密—；通过欺诈对话框诱使用户授予root权限，滥用提升的权限运行未经授权的shell命令，从iCloud密钥链检索主密钥，然后对内容进行解密并传输到服务器。

除了Chrome和Telegram之外，XCSSET还可以通过从Evernote、Opera、Skype、微信以及苹果自己的联系人和Notes应用程序的沙箱目录中检索这些数据，从各种应用程序中获取有价值的信息。

研究人员说：“对它如何从各种应用程序中窃取信息的发现，突显了恶意软件在多大程度上试图从受影响的系统中窃取各种信息。”。