Mac gépekről lop adatokat az XCSSET trójai

​Egy olyan kártékony program jelenlétére hívta fel az egyik biztonsági cég a figyelmet, amely macOS operációs rendszert futtató számítógépekről képes adatokat lopni.
 

A macOS viszonylag ritkán tűnik fel a számítógépes vírusokkal kapcsolatos hírek között, de azért ez nem jelenti azt, hogy a kártékony programok problémája az Apple-féle ökoszisztémát egyáltalán nem érinti. Ezért Mac alatt is szükség van odafigyelésre, és az esetleges hamis biztonságérzet leküzdésére. Ezt támasztja alá a Trend Micro biztonsági kutatóinak legutóbbi jelentése is, amely egy macOS kompatibilis károkozó elemzéséről számol be.
 
A szakemberek a már korábbról ismert, XCSSET nevű trójai legújabb variánsára akadtak, amelyet alaposan górcső alá vettek. Ekkor derült ki, hogy a szerzemény jelentős ütemben fejlődik, és valóban alkalmas komolyabb adatszivárogtatás végrehajtására. Azzal - a már eddig is alkalmazott - módszerével viszont nem hagyott fel, miszerint fejlesztők számítógépeire próbál felkerülni, és a helyi Xcode projektek megfertőzésével igyekszik terjedni.
 
Így működik a kártékony program
 
Amikor az XCSSET felkerül egy számítógépre, akkor azon felkutatja azokat az alkalmazásokat, amikből a különféle moduljai adatlopást tesznek lehetővé. A legújabb variáns különös érdeklődést mutat a Telegram iránt. A kutatók elmondták, hogy a szerzemény a Telegram app bizonyos mappáiról teljes másolatot készít, amelyeket feltölt a vezérlőszervereire. A támadók e mappák révén a saját számítógépeiken hozzáférést szerezhetnek a pórul járt felhasználó Telegram fiókjához. Az is kiderült, hogy az adatlopásnak a sandbox védelem sem tud gátat szabni.
 
Az XCSSET a Telegram mellett képes egyebek mellett a Google Chrome, a Contacts, az Evernote, a Notes, az Opera, a Skype és a WeChat alkalmazások ostromlására. Ez esetekben azonban felhasználói közreműködés nélkül már nem mindig tudja maradéktalanul ellátni a feladatát. A Chrome esetében egy dialógusablakot jelenít meg, amelyben engedélyeket kér a felhasználótól (nyilván megtévesztő módon) annak érdekében, hogy a webböngésző által titkosított felhasználói adatok dekódolásához szükséges (Safe Storage Key) kulcsot ki tudja nyerni a rendszerből.
 
A kártékony program legújabb variánsa a korábbiakhoz képest módosított szerverlistával rendelkezik, vagyis új vezérlőszervereket állítottak hadrendbe a trójai terjesztői.
 
A Trend Micro szerint az XCSSET a legújabb macOS verzió alatt is működőképes. Ezért elsősorban az alkalmazások megbízható forrásból történő letöltésével, valamint biztonságtudatos számítógéphasználattal lehet védekezni a kártékony program ellen.