Rabattilbud med flere licenser
Trusseldatabase Mac Malware XCSSET macOS-malware

XCSSET macOS-malware

Med Mezo i Mac Malware
Oversæt til:

Cybersikkerhedsforskere har identificeret en ny, mere sofistikeret variant af XCSSET-malwaren, der er rettet mod Apple macOS. Selvom den i øjeblikket observeres i begrænsede angreb, viser denne opdaterede version betydelige forbedringer inden for stealth, persistens og dataudvinding.

Hvad gør denne variant anderledes?

Den seneste XCSSET-version introducerer flere vigtige ændringer:

Browser- og udklipsholdermålretning : Den overvåger nu indholdet af udklipsholderen for at finde adresser på kryptovaluta-wallets og erstatter dem med angriberstyrede adresser for at kapre transaktioner.

Udvidet datatyveri : Ud over Safari kan malwaren nu stjæle data fra Mozilla Firefox.

Stealth og persistens : Ved at bruge run-only-kompilerede AppleScripts og LaunchDaemon-poster er det fortsat vanskeligt at opdage og opretholde persistens på inficerede systemer.

Forbedret infektionskæde : Ændringer i angrebets fjerde fase involverer hentning af et AppleScript i den sidste fase, der er ansvarlig for indsamling af systeminformation og moduludførelse via en boot()-funktion.

Hvordan XCSSET inficerer macOS

XCSSET er primært rettet mod Xcode-projekter, der bruges af softwareudviklere. Når disse projekter bygges, aktiverer og udfører malwaren sine skadelige moduler. Selvom den nøjagtige distributionsmetode er uklar, mistænkes det for, at delte eller klonede Xcode-projekter er en væsentlig vektor.

Tidligere i år bemærkede forskere forbedringer, herunder bedre fejlhåndtering og implementering af tre persistensteknikker designet til at fjerne følsomme data fra kompromitterede systemer.

Nye og opdaterede moduler

Den seneste variant indeholder adskillige nye eller modificerede moduler, der hver især udfører specifikke ondsindede funktioner:

vexyeqj (tidligere seizecj)

  • Downloader et modul med navnet bnk ved hjælp af osascript.
  • Håndterer datavalidering, kryptering/dekryptering, C2-kommunikation og logning.
  • Inkluderer funktioner til hijacking af udklipsholder.

neq_cdyd_ilvcmwx

  • Eksfiltrerer filer til C2-serveren, svarende til det ældre txzx_vostfdi-modul.

xmyyeqjx

  • Etablerer LaunchDaemon-baseret persistens.

jey

  • Implementerer Git-baseret persistens.

iewmilh_cdyd

  • Stjæler Firefox-browserdata ved hjælp af et modificeret HackBrowserData-værktøj.

Yderligere opdateringer inkluderer kontroller af Telegram-beskedappen og logiske ændringer på tværs af forskellige moduler.

Afbødende og sikkerhedsforanstaltninger

For at reducere risikoen ved XCSSET bør macOS-brugere:

  • Holde deres systemer og software fuldt opdaterede.
  • Undersøg omhyggeligt Xcode-projekter, der er hentet fra arkiver eller eksterne kilder.
  • Vær forsigtig, når du kopierer eller indsætter følsomme oplysninger, især adresser på kryptovaluta-wallets.

Dette strukturerede format fremhæver malwarens udvikling, tekniske detaljer og praktiske råd om afhjælpning, samtidig med at alle vigtige oplysninger bevares intakte.

Trending

Mest sete

Indlæser...