研究人员分析了XCSSET恶意软件攻击最新macOS 11(Big Sur)系统的特征。之后,XCSSET恶意软件攻击活动又向其工具集中增加了一些新的特征。在其最新的攻击活动中,研究人员发现了XCSSET从不同APP中窃取信息的机制。
XCSSET恶意软件如何窃取信息?
从最初的XCSSET版本开始,研究人员就发现恶意软件会从不同的APP中收集数据,并发送回其C2服务器。但是研究人员并不知道攻击者如何使用这些数据。研究人员最近发现了XCSSET用来窃取数据的工作机制,并发现其中含有一些可以用于其他目的的敏感信息。
以恶意AppleScript文件“telegram.applescript”为例,该文件名中可以看出telegram就是目标APP。其主逻辑是压缩文件夹“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”到ZIP文件中,然后上传该文件到其C2服务器。
图 1. telegram.applescript代码
为找出收集该文件夹的目的,研究人员使用2个Mac机器来执行简单的测试:
◼在测试机器A和机器B上都按照telegram应用
◼在机器A上,登入有效的telegram账户。在机器B上不做任何操作。
◼将机器A的“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”文件夹复制到机器B,并替换现有文件夹。
◼在机器B上运行telegram。完成后,就登入了与机器A相同的