macOS işletim sistemini amaç alan XCSSET isimli berbat maksatlı yazılım, araştırmacılara nazaran Google Chrome ve Telegram üzere uygulamalardan bilgi çalmak maksadıyla çeşitli yeni özellikler kazandı. Saldırganlar böylelikle daha fazla uygulamadan data sızdırmayı planlıyor.
XCSSET isimli ziyanlı yazılım, geçtiğimiz sene Ağustos ayında Trend Micro araştırmacıları tarafından tespit edilmişti. Xcode üzerinde geliştirmeler yapan programcıları amaç alan bu zararlının asıl gayesi ise geliştirilen projelere makûs emelli kodlarını dahil etmek. Trend Micro’nun yazdığı rapora nazaran GitHub üzerinde bilmeden XCSSET tarafından ziyanlı kodlar dahil edilen birçok proje bulunuyor. Bu nedenle XCSSET’e bir nevi “supply chain attack” yani tedarik zinciri taarruzunda kullanma fikriyle yazılmış makûs hedefli program diyebiliriz.
Ayrıyeten bu macOS zararlısı Safari tarayıcısında kullanılan çerezleri çalmak, web sitelerine berbat gayeli JavaScript kodları eklemek; Skype, Telegram, WeChat, Evernote, Opera, Notlar üzere uygulamalardan bilgi sızdırmak, kullanıcıların evraklarını şifreleyip fidye istemek üzere sayısız yeteneğe sahip.
Şimdi bu Nisan ayının başında bir güncelleme daha alan XCSSET, artık M1 yonga setli Mac’lerde de çalışabilir hale geldi. Apple güvenlik siyasetlerini rahatlıkla atlatabilen bu ziyanlı yazılım macOS Big Sur 11‘i de destekliyor.
Trend Micro’ya nazaran XCSSET şimdiki sistemlerde süreksiz bir imza yardımıyla C2 yani komuta denetim sunucusundan kendi ziyanlı yükünü indirirken, macOS’un 10.15 yahut çok daha düşük sürüme sahip olan versiyonlarda ise zararlıyı indirmek için sistemin güvenlik açıklarını kullanıyor. Güvenlik devinin yayınladığı yeni bir rapora göreyse ziyanlı yazılımın Telegram datalarını sıkıştırmak için berbat hedefli bir AppleScript‘ini çalıştırdığı görüldü.
Google Chrome datalarını çalmak içinse kullanıcılardan geçersiz bir pencere yardımıyla root müsaadesi istiyor ve root haklarını kullanarak güvenlik anahtarını alıyor. Daha sonra aldığı bu anahtar yardımıyla web tarayıcısında depolanan şifreleri çalıp saldırganlara iletiyor.
Saldırganların son vakitlerde macOS sistemlere hayli fazla ilgi duyması ve bu stil gelişmiş makus emelli yazılımlar geliştirmeleri macOS sistemlere virüs bulaşmaz biçimindeki gerçek olmayan kent efsanelerinin sonunu getirecek üzere duruyor.
