XCSSET İsimli macOS Zararlısı Telegram ve Chrome’u Hedefliyor

macOS işletim sistemini amaç alan XCSSET isimli makus hedefli yazılım, araştırmacılara nazaran Google Chrome ve Telegram üzere uygulamalardan bilgi çalmak hedefiyle çeşitli yeni özellikler kazandı. Saldırganlar böylelikle daha fazla uygulamadan bilgi sızdırmayı planlıyor.

XCSSET isimli ziyanlı yazılım, geçtiğimiz sene Ağustos ayında Trend Micro araştırmacıları tarafından tespit edilmişti. Xcode üzerinde geliştirmeler yapan programcıları maksat alan bu zararlının asıl maksadı ise geliştirilen projelere makus gayeli kodlarını dahil etmek. Trend Micro’nun yazdığı rapora nazaran GitHub üzerinde bilmeden XCSSET tarafından ziyanlı kodlar dahil edilen birçok proje bulunuyor. Bu nedenle XCSSET’e bir nevi “supply chain attack” yani tedarik zinciri hücumunda kullanma niyetiyle yazılmış makûs gayeli program diyebiliriz.

Ayrıyeten bu macOS zararlısı Safari tarayıcısında kullanılan çerezleri çalmak, web sitelerine makûs hedefli JavaScript kodları eklemek; Skype, Telegram, WeChat, Evernote, Opera, Notlar üzere uygulamalardan bilgi sızdırmak, kullanıcıların evraklarını şifreleyip fidye istemek üzere sayısız yeteneğe sahip.

Şimdi bu Nisan ayının başında bir güncelleme daha alan XCSSET, artık M1 yonga setli Mac’lerde de çalışabilir hale geldi. Apple güvenlik siyasetlerini rahatlıkla atlatabilen bu ziyanlı yazılım macOS Big Sur 11‘i de destekliyor.

Trend Micro’ya nazaran XCSSET yeni sistemlerde süreksiz bir imza yardımıyla C2 yani komuta denetim sunucusundan kendi ziyanlı yükünü indirirken, macOS’un 10.15 yahut çok daha düşük sürüme sahip olan versiyonlarda ise zararlıyı indirmek için sistemin güvenlik açıklarını kullanıyor. Güvenlik devinin yayınladığı yeni bir rapora göreyse ziyanlı yazılımın Telegram datalarını sıkıştırmak için makûs emelli bir AppleScript‘ini çalıştırdığı görüldü.

Telegram datalarını ZIP’leyen AppleScript kodu. – Fotoğraf Kaynağı: Trend Micro

Google Chrome datalarını çalmak içinse kullanıcılardan uydurma bir pencere yardımıyla root müsaadesi istiyor ve root haklarını kullanarak güvenlik anahtarını alıyor. Daha sonra aldığı bu anahtar yardımıyla web tarayıcısında depolanan şifreleri çalıp saldırganlara iletiyor.

Saldırganların son vakitlerde macOS sistemlere epeyce fazla ilgi duyması ve bu usul gelişmiş makus gayeli yazılımlar geliştirmeleri macOS sistemlere virüs bulaşmaz halindeki gerçek olmayan kent efsanelerinin sonunu getirecek üzere duruyor.

Kaynak: Technopat