Malware XCSSET pro macOS

Výzkumníci v oblasti kybernetické bezpečnosti identifikovali novou, sofistikovanější variantu malwaru XCSSET zaměřenou na Apple macOS. I když je v současné době pozorována u omezených útoků, tato aktualizovaná verze vykazuje významná vylepšení v oblasti utajení, perzistence a exfiltrace dat.

Čím se tato varianta liší?

Nejnovější verze XCSSETu přináší několik klíčových změn:

Cílení na prohlížeč a schránku : Nyní monitoruje obsah schránky a hledá adresy kryptoměnových peněženek a nahrazuje je adresami ovládanými útočníkem za účelem únosu transakcí.

Rozšířené krádeže dat : Kromě Safari nyní malware dokáže ukrást data i z Mozilla Firefoxu.

Nenápadnost a perzistence : Použitím skriptů AppleScripts a položek LaunchDaemon, které jsou kompilovány pouze pro běh, je stále obtížné detekovat a udržovat perzistenci na infikovaných systémech.

Vylepšený infekční řetězec : Změny ve čtvrté fázi útoku zahrnují načtení závěrečného skriptu AppleScript, který je zodpovědný za sběr systémových informací a spuštění modulů, prostřednictvím funkce boot().

Jak XCSSET infikuje macOS

XCSSET se primárně zaměřuje na projekty Xcode používané vývojáři softwaru. Po sestavení těchto projektů malware aktivuje a spouští své škodlivé moduly. Přestože přesná metoda distribuce není jasná, existuje podezření, že hlavním vektorem jsou sdílené nebo klonované projekty Xcode.

Začátkem tohoto roku vědci zaznamenali vylepšení, včetně lepšího zpracování chyb a implementace tří technik perzistence určených k odčerpávání citlivých dat z napadených systémů.

Nové a aktualizované moduly

Nejnovější varianta obsahuje několik nových nebo upravených modulů, z nichž každý provádí specifické škodlivé funkce:

vexyeqj (dříve seisecj)

• Stáhne modul s názvem bnk pomocí osascriptu.
• Zajišťuje ověřování dat, šifrování/dešifrování, komunikaci C2 a protokolování.
• Zahrnuje funkce únosu schránky.

neq_cdyd_ilvcmwx

• Přesouvá soubory na server C2, podobně jako starší modul txzx_vostfdi.

xmyyeqjx

• Zavádí perzistenci založenou na LaunchDaemon.

jey

• Implementuje perzistenci založenou na Gitu.

iewmilh_cdyd

• Krade data prohlížeče Firefox pomocí upraveného nástroje HackBrowserData.

Mezi další aktualizace patří kontroly aplikace pro zasílání zpráv Telegram a úpravy logiky v různých modulech.

Zmírňující a bezpečnostní opatření

Aby se snížilo riziko, které představuje XCSSET, uživatelé macOS by měli:

• Udržujte své systémy a software plně aktualizované.
• Pečlivě zkontrolujte projekty Xcode získané z repozitářů nebo externích zdrojů.
• Při kopírování nebo vkládání citlivých informací, zejména adres kryptoměnových peněženek, buďte opatrní.

Tento strukturovaný formát zdůrazňuje vývoj malwaru, technické detaily a praktické rady pro zmírnění následků, přičemž zachovává všechny důležité informace nedotčené.