Κακόβουλο λογισμικό XCSSET για macOS

Ερευνητές κυβερνοασφάλειας εντόπισαν μια νέα, πιο εξελιγμένη παραλλαγή του κακόβουλου λογισμικού XCSSET που στοχεύει το Apple macOS. Ενώ παρατηρείται αυτήν τη στιγμή σε περιορισμένες επιθέσεις, αυτή η ενημερωμένη έκδοση παρουσιάζει σημαντικές βελτιώσεις στην αόρατη λειτουργία, την επιμονή και την εξαγωγή δεδομένων.

Τι κάνει αυτή την παραλλαγή διαφορετική;

Η τελευταία έκδοση του XCSSET εισάγει αρκετές βασικές αλλαγές:

Στόχευση προγράμματος περιήγησης και πρόχειρου : Πλέον παρακολουθεί το περιεχόμενο του πρόχειρου για διευθύνσεις πορτοφολιών κρυπτονομισμάτων, αντικαθιστώντας τες με διευθύνσεις που ελέγχονται από εισβολείς για την παραβίαση συναλλαγών.

Εκτεταμένη κλοπή δεδομένων : Πέρα από το Safari, το κακόβουλο λογισμικό μπορεί πλέον να υποκλέψει δεδομένα από το Mozilla Firefox.

Αθόρυβη λειτουργία και Επιμονή : Χρησιμοποιώντας μεταγλωττισμένα AppleScripts και καταχωρήσεις LaunchDaemon που εκτελούνται μόνο για εκτέλεση, εξακολουθεί να είναι δύσκολο να εντοπιστεί και να διατηρηθεί η επιμονή σε μολυσμένα συστήματα.

Βελτιωμένη Αλυσίδα Μόλυνσης : Οι αλλαγές στο τέταρτο στάδιο της επίθεσης περιλαμβάνουν την ανάκτηση ενός AppleScript τελικού σταδίου που είναι υπεύθυνο για τη συλλογή πληροφοριών συστήματος και την εκτέλεση λειτουργικών μονάδων μέσω μιας συνάρτησης boot().

Πώς το XCSSET μολύνει το macOS

Το XCSSET στοχεύει κυρίως σε έργα Xcode που χρησιμοποιούνται από προγραμματιστές λογισμικού. Όταν δημιουργούνται αυτά τα έργα, το κακόβουλο λογισμικό ενεργοποιεί και εκτελεί τις κακόβουλες ενότητές του. Ενώ η ακριβής μέθοδος διανομής δεν είναι σαφής, υπάρχει η υποψία ότι τα κοινόχρηστα ή κλωνοποιημένα έργα Xcode αποτελούν έναν σημαντικό φορέα.

Νωρίτερα φέτος, οι ερευνητές σημείωσαν βελτιώσεις, όπως καλύτερο χειρισμό σφαλμάτων και την εφαρμογή τριών τεχνικών διατήρησης που έχουν σχεδιαστεί για την απομάκρυνση ευαίσθητων δεδομένων από παραβιασμένα συστήματα.

Νέες και ενημερωμένες ενότητες

Η τελευταία παραλλαγή διαθέτει αρκετές νέες ή τροποποιημένες ενότητες, καθεμία από τις οποίες εκτελεί συγκεκριμένες κακόβουλες λειτουργίες:

vexyeqj (πρώην seiseecj)

• Λήψη μιας ενότητας με όνομα bnk χρησιμοποιώντας osascript.
• Χειρίζεται την επικύρωση δεδομένων, την κρυπτογράφηση/αποκρυπτογράφηση, την επικοινωνία C2 και την καταγραφή.
• Ενσωματώνει δυνατότητες hijacking από πρόχειρο.

neq_cdyd_ilvcmwx

• Απομακρύνει αρχεία στον διακομιστή C2, παρόμοια με την παλαιότερη ενότητα txzx_vostfdi.

xmyyeqjx

• Καθιερώνει persistence βασισμένο στο LaunchDaemon.

τζέι

• Υλοποιεί την επιμονή που βασίζεται στο Git.

iewmilh_cdyd

• Κλέβει δεδομένα του προγράμματος περιήγησης Firefox χρησιμοποιώντας ένα τροποποιημένο εργαλείο HackBrowserData.

Πρόσθετες ενημερώσεις περιλαμβάνουν ελέγχους για την εφαρμογή ανταλλαγής μηνυμάτων Telegram και τροποποιήσεις λογικής σε διάφορες ενότητες.

Μέτρα μετριασμού και ασφάλειας

Για να μειώσουν τον κίνδυνο που ενέχει το XCSSET, οι χρήστες macOS θα πρέπει:

• Να διατηρούν τα συστήματα και το λογισμικό τους πλήρως ενημερωμένα.
• Επιθεωρήστε προσεκτικά τα έργα Xcode που έχετε λάβει από αποθετήρια ή εξωτερικές πηγές.
• Να είστε προσεκτικοί κατά την αντιγραφή ή επικόλληση ευαίσθητων πληροφοριών, ειδικά διευθύνσεων πορτοφολιών κρυπτονομισμάτων.

Αυτή η δομημένη μορφή επισημαίνει την εξέλιξη του κακόβουλου λογισμικού, τις τεχνικές λεπτομέρειες και τις πρακτικές συμβουλές μετριασμού, διατηρώντας παράλληλα όλες τις απαραίτητες πληροφορίες άθικτες.