Исследователи Microsoft Threat Intelligence выявили новую версию вредоносной программы XCSSET, способной атаковать криптовалютные кошельки на macOS. Обновленный вирус записывает видео с экрана жертвы и может подменять биткоин-адреса в браузере.
XCSSET был впервые обнаружен в 2020 году и использовался для кражи данных из мессенджера Telegram и съемки скриншотов. Теперь он научился похищать информацию из Apple Notes и применять сложные методы обфускации, что затрудняет его обнаружение. Вредоносная программа запускается каждый раз, когда пользователь активирует функцию Launchpad.
Microsoft заявила, что пока обнаружила XCSSET только в ограниченном числе атак. Однако его возможности позволяют злоумышленникам не только красть криптовалюту, но и использовать программу для атак с требованием выкупа.
Исследователи Trend Micro ранее сообщали, что вредоносное ПО в основном нацелено на разработчиков. XCSSET распространяется через зараженные проекты Xcode, используемые для создания приложений macOS. Он вмешивается в работу браузера и может перенаправлять криптовалютные переводы на счета мошенников.
Microsoft Defender for Endpoint уже способен обнаруживать новую версию XCSSET. Эксперты советуют пользователям загружать приложения только из надежных источников и проверять репозитории Xcode перед установкой.
Ранее компания Chainalysis отметила , что в 2024 году выплаты жертв программ-вымогателей сократились на 35% благодаря активным действиям правоохранителей. Однако злоумышленники также адаптируются, требуя выкуп уже в первые часы после шифрования данных.
При этом программы-вымогатели остаются одним из главных источников дохода преступников, говорится в отчете.
