Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós per a Mac Programari maliciós de macOS XCSSET

Programari maliciós de macOS XCSSET

El Mezo el Programari maliciós per a Mac
Traduir a:

Investigadors de ciberseguretat han identificat una nova variant més sofisticada del programari maliciós XCSSET dirigida a Apple macOS. Tot i que actualment s'observa en atacs limitats, aquesta versió actualitzada demostra millores significatives en la sigil·losi, la persistència i l'exfiltració de dades.

Què fa diferent aquesta variant?

La darrera versió de XCSSET introdueix diversos canvis clau:

Segmentació del navegador i del porta-retalls : ara supervisa el contingut del porta-retalls per a les adreces de les carteres de criptomonedes, substituint-les per adreces controlades per atacants per segrestar transaccions.

Robatori de dades ampliat : més enllà de Safari, el programari maliciós ara pot exfiltrar dades de Mozilla Firefox.

Furt i persistència : Si s'utilitzen entrades compilades d'AppleScripts i LaunchDaemon, continua sent difícil detectar i mantenir la persistència en sistemes infectats.

Cadena d'infecció millorada : els canvis a la quarta etapa de l'atac impliquen l'obtenció d'un AppleScript d'etapa final responsable de la recopilació d'informació del sistema i l'execució del mòdul mitjançant una funció boot().

Com infecta XCSSET macOS

XCSSET té com a objectiu principal els projectes Xcode utilitzats pels desenvolupadors de programari. Quan es construeixen aquests projectes, el programari maliciós activa i executa els seus mòduls maliciosos. Tot i que el mètode exacte de distribució no està clar, se sospita que els projectes Xcode compartits o clonats són un vector important.

A principis d'aquest any, els investigadors van observar millores que incloïen una millor gestió d'errors i la implementació de tres tècniques de persistència dissenyades per extraure dades sensibles de sistemes compromesos.

Mòduls nous i actualitzats

La darrera variant inclou diversos mòduls nous o modificats, cadascun dels quals realitza funcions malicioses específiques:

vexyeqj (anteriorment seizecj)

  • Descarrega un mòdul anomenat bnk utilitzant osascript.
  • Gestiona la validació de dades, el xifratge/desxifratge, la comunicació C2 i el registre.
  • Incorpora funcions de segrest del porta-retalls.

neq_cdyd_ilvcmwx

  • Exfiltra els fitxers al servidor C2, de manera similar al mòdul txzx_vostfdi més antic.

xmyyeqjx

  • Estableix una persistència basada en LaunchDaemon.

jey

  • Implementa la persistència basada en Git.

iewmilh_cdyd

  • Roba dades del navegador Firefox mitjançant una eina HackBrowserData modificada.

Les actualitzacions addicionals inclouen comprovacions per a l'aplicació de missatgeria Telegram i modificacions lògiques en diversos mòduls.

Mesures de mitigació i seguretat

Per reduir el risc que planteja XCSSET, els usuaris de macOS haurien de:

  • Mantenir els seus sistemes i programari completament actualitzats.
  • Inspeccioneu acuradament els projectes Xcode obtinguts de repositoris o fonts externes.
  • Aneu amb compte a l'hora de copiar o enganxar informació confidencial, especialment les adreces de les carteres de criptomonedes.

Aquest format estructurat destaca l'evolució del programari maliciós, els detalls tècnics i els consells pràctics de mitigació, alhora que manté intacta tota la informació essencial.

Tendència

Missatges que esperen la vostra atenció: estafa per...

Phishing, Correu brossa
El correu electrònic continua sent un dels vectors d'atac més comuns per als ciberdelinqüents, i les estafes disfressades de notificacions de comptes són particularment perilloses. Una d'aquestes campanyes fraudulentes és l'estafa de correu electrònic "Missatges esperant la vostra atenció", que enganya els destinataris perquè visitin llocs de phishing dissenyats per robar credencials sensibles....

Més vist

Carregant...