Зловреден софтуер за macOS XCSSET
Изследователи по киберсигурност са идентифицирали нов, по-усъвършенстван вариант на зловредния софтуер XCSSET, насочен към Apple macOS. Въпреки че в момента се наблюдава при ограничени атаки, тази актуализирана версия демонстрира значителни подобрения в скритостта, устойчивостта и извличането на данни.
Съдържание
Какво прави този вариант различен?
Най-новата версия на XCSSET въвежда няколко ключови промени:
Таргетиране на браузъра и клипборда : Вече следи съдържанието на клипборда за адреси на портфейли с криптовалута, замествайки ги с адреси, контролирани от нападателя, за да отвлече транзакции.
Разширена кражба на данни : Отвъд Safari, зловредният софтуер вече може да извлича данни от Mozilla Firefox.
Стелт и постоянство : Използвайки компилирани само за изпълнение AppleScripts и записи в LaunchDaemon, остава трудно да се открие и поддържа постоянство в заразени системи.
Подобрена верига на заразяване : Промените в четвъртия етап на атаката включват извличане на AppleScript от последния етап, отговорен за събирането на системна информация и изпълнението на модули, чрез функция boot().
Как XCSSET заразява macOS
XCSSET е насочен предимно към Xcode проекти, използвани от разработчици на софтуер. Когато тези проекти са изградени, зловредният софтуер активира и изпълнява своите злонамерени модули. Въпреки че точният метод на разпространение е неясен, се предполага, че споделените или клонирани Xcode проекти са основен вектор.
По-рано тази година изследователите отбелязаха подобрения, включително по-добра обработка на грешки и внедряването на три техники за постоянство, предназначени за извличане на чувствителни данни от компрометирани системи.
Нови и актуализирани модули
Най-новият вариант включва няколко нови или модифицирани модула, всеки от които изпълнява специфични злонамерени функции:
vexyeqj (преди seisecj)
- Изтегля модул с име bnk, използвайки osascript.
- Управлява валидирането на данни, криптирането/декриптирането, комуникацията на C2 и регистрирането.
- Включва възможности за отвличане на клипборда.
neq_cdyd_ilvcmwx
- Прехвърля файлове към C2 сървъра, подобно на по-стария модул txzx_vostfdi.
xmyyeqjx
- Установява постоянство, базирано на LaunchDaemon.
Джей
- Реализира постоянство, базирано на Git.
Последване
- Краде данни от браузъра Firefox, използвайки модифициран инструмент HackBrowserData.
Допълнителните актуализации включват проверки за приложението за съобщения Telegram и логически модификации в различни модули.
Мерки за смекчаване и безопасност
За да намалят риска, породен от XCSSET, потребителите на macOS трябва:
- Поддържайте системите и софтуера си напълно актуализирани.
- Внимателно проверете Xcode проектите, получени от хранилища или външни източници.
- Бъдете внимателни, когато копирате или поставяте чувствителна информация, особено адреси на портфейли с криптовалута.
Този структуриран формат подчертава еволюцията на зловредния софтуер, техническите подробности и практическите съвети за смекчаване на последиците, като същевременно запазва цялата важна информация непокътната.
