El malware de MacOS roba cuentas de Telegram y datos de Google Chrome

Los investigadores de seguridad han publicado detalles sobre el método utilizado por una variedad de malware macOS para robar información de inicio de sesión de múltiples aplicaciones, lo que permite a sus operadores robar cuentas.

Apodado XCSSET, el malware sigue evolucionando y se ha dirigido a los desarrolladores de macOS durante más de un año al infectar proyectos locales de Xcode.

Robar cuentas de Telegram, contraseñas de Chrome


XCSSET recopila de los equipos infectados archivos con información confidencial que pertenecen a determinadas aplicaciones y los envía al servidor de comando y control (C2).

Una de las aplicaciones específicas es el software de mensajería instantánea Telegram. El malware crea el archivo "telegram.applescript" para la carpeta "keepcoder.Telegram" en el directorio Group Containers.


La recopilación de la carpeta Telegram permite a los piratas informáticos iniciar sesión en la aplicación de mensajería como el propietario legítimo de la cuenta.

Los investigadores de Trend Micro explican que copiar la carpeta robada en otra máquina con Telegram instalado les da a los atacantes acceso a la cuenta de la víctima.

XCSSET puede robar datos confidenciales de esta manera porque los usuarios normales pueden acceder al directorio de la zona de pruebas de la aplicación con permisos de lectura y escritura.

"No todos los archivos ejecutables están en espacio aislado en macOS, lo que significa que una secuencia de comandos simple puede robar todos los datos almacenados en el directorio del espacio aislado" - Trend Micro

Los investigadores también analizaron el método utilizado para robar las contraseñas guardadas en Google Chrome, una técnica que requiere la interacción del usuario y se ha descrito desde al menos 2016.

El actor de la amenaza debe obtener la clave de almacenamiento seguro, que se almacena en el llavero del usuario como "Almacenamiento seguro de Chrome".

Sin embargo, utilizan un cuadro de diálogo falso para engañar al usuario para que otorgue privilegios de administrador a todas las operaciones del atacante necesarias para obtener la clave de almacenamiento seguro que puede descifrar las contraseñas almacenadas en Chrome.


Una vez descifrados, todos los datos se envían al servidor de comando y control del atacante. Existen scripts similares en XCSSET para robar datos confidenciales de otras aplicaciones: Contactos, Evernote, Notas, Opera, Skype, WeChat.

Los investigadores de Trend Micro dicen que la última versión de XCSSET que analizaron también tiene una lista actualizada de servidores C2 y un nuevo módulo "canario" para inyecciones de secuencias de comandos entre sitios (XSS) en el navegador web experimental Chrome Canary.

Si bien las actualizaciones recientes del malware están lejos de agregar características significativas, muestran que XCSSET está evolucionando y adaptándose continuamente.

XCSSET tiene como objetivo la última versión de macOS (actualmente Big Sur) y se ha visto en el pasado aprovechar una vulnerabilidad de día cero para eludir las protecciones para el acceso completo al disco y evitar el contenido explícito del usuario.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta