មេរោគដែលគេដឹងថាមានបំណងវាយប្រហារទៅលើប្រព័ន្ធប្រតិបត្តិការ macOS បានធ្វើបច្ចុប្បន្នភាព ដោយបន្ថែមលក្ខណៈមួយចំនួនទៅលើ toolset របស់ខ្លួន ហើយវាអាចប្រមូលផ្តុំ និងដកទិន្នន័យរស៊ើប ដែលមានរក្សាទុកនៅក្នុងកម្មវិធីផ្សេងៗរួមមាន Google Chrome and Telegram ដែលជាការអភិវឌ្ឍ បច្ចេកទេសថ្មីរបស់ខ្លួន។
XCSSET ត្រូវបានបង្ហាញនៅក្នុងឆ្នាំ២០២០ នៅពេលដែលវាត្រូវបានរកឃើញថាសំដៅទៅរកអ្នក អភិវឌ្ឍ Mac ដោយប្រើមធ្យោបាយចែកចាយពាក់ព័ន្ធនឹងការបញ្ចូល payload អាក្រក់ចូលទៅក្នុង Xcode IDE project នៅខណៈពេលដំណើរការបង្កើតឯកសារគម្រោងនៅក្នុង Xcode។
មេរោគមានសមត្ថភាពអាចអាន និងdumping Safari cookies, ចាក់បញ្ចូលកូដ JavaScript អាក្រក់ ចូលទៅក្នុងគេហទំព័រផ្សេងៗ និងលួចព័ត៌មានពីកម្មវិធីដូចជា Note, WeChat, Skype, Telegram និង អ៊ីនគ្រីបឯកសារអ្នកប្រើប្រាស់។
នៅដើមខែមេសានេះ XCSSET ទទួលបានការធ្វើបច្ចុប្បន្នភាពឆ្ពោះទៅ macOS 11 Big Sur ក៏ដូចជា Macs ដែលដំណើរការនៅលើ M1 chipset ដើម្បីគេចចេញពីគោលការណ៍សុវត្ថិភាពថ្មីដែលចេញពី Apple នៅក្នុងប្រព័ន្ធប្រតិបត្តិការថ្មី។
អ្នកស្រាវជ្រាវនៅ Trend Micro កត់សម្គាល់ឃើញថា៖ “មេរោគ download open tool របស់ខ្លួនចេញពី C2 server ដែលមាន pre-signed ជាមួយនឹង ad-hoc signature។ ផ្ទុយទៅវិញប្រសិនបើវាជាជំនាន់ macOS 10.15 ឬទាបជាងនេះ វានឹងប្រើ open command ដែលបានបង្កើតស្រាប់នៅលើប្រព័ន្ធដើម្បី ដំណើរការកម្មវិធី”។
យោងតាមការចេញផ្សាយដោយក្រុមហ៊ុនសុវត្ថិភាពកាលពីថ្ងៃព្រហស្បតិ៍ បានបង្ហាញថា XCSSET ដំណើរការ AppleScript file អាក្រក់ ដើម្បី compress folder ដែលមានទិន្នន័យ Telegram (“-/Library/Group Containers/ 6N38VWS5BX.ru.keepcoder.Telegram”) នៅក្នុង ZIP archive file មុន upload វាចូលទៅម៉ាស៊ីនមេពីចម្ងាយដែលស្ថិតនៅក្រោមការគ្រប់គ្រងរបស់ពួកគេ ដូច្នេះហេគឃ័រអាច log in ចូលប្រើប្រាស់គណនីជនរងគ្រោះបាន។
ជាមួយនឹង Google Chrome មេរោគចង់លួចលេខសម្ងាត់ដែលរក្សាទុកនៅក្នុង web browser ដែល បានអ៊ីនគ្រីបទុកដោយប្រើ master password ហៅថា “safe storage key” ដោយបញ្ឆោតអ្នកប្រើឱ្យ ផ្តល់សិទ្ធិតាមរយៈ dialog box បោកប្រាស់ ដើម្បីតំឡើងការអនុញ្ញាតឱ្យដំណើរការ shell command ដែលគ្មានសិទ្ធិ និងទទួលបាន master key ពី iCloud Keychain បន្ទាប់មក contents ត្រូវបានឌីគ្រីប និងបញ្ជូនទៅកាន់ម៉ាស៊ីនមេ។
អ្នកស្រាវជ្រាវបានថ្លែងថា៖ “របកគំហើញពីរបៀបដែលវាលួចព័ត៌មានពីកម្មវិធីផ្សេងៗបានបង្ហាញថា មេរោគមានបំណងលួចយកព័ត៌មានពីប្រព័ន្ធដែលរងការវាយប្រហារ”។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៣ ខែកក្កដា ឆ្នាំ២០២១
ប្រែសម្រួលដោយ៖ កញ្ញា
