XCSSET macOS-i pahavara
Küberturvalisuse uurijad on tuvastanud Apple macOS-i sihtmärgiks oleva XCSSET pahavara uue ja keerukama variandi. Kuigi praegu on seda täheldatud piiratud arvul rünnakutes, näitab see uuendatud versioon olulisi täiustusi varjatuse, püsivuse ja andmete väljavoolu osas.
Sisukord
Mis teeb selle variandi erinevaks?
XCSSET-i uusim versioon toob kaasa mitmeid olulisi muudatusi:
Brauseri ja lõikelaua sihtimine : See jälgib nüüd krüptovaluuta rahakottide aadresside otsimiseks lõikelaua sisu, asendades need ründaja kontrolli all olevate aadressidega tehingute kaaperdamiseks.
Laiendatud andmevargus : Lisaks Safarile saab pahavara nüüd andmeid hankida ka Mozilla Firefoxist.
Varjatus ja püsivus : Ainult käivitamiseks kompileeritud AppleScriptide ja LaunchDaemoni kirjete abil on nakatunud süsteemides püsivuse tuvastamine ja säilitamine keeruline.
Täiustatud nakatamisahel : Rünnaku neljanda etapi muudatused hõlmavad viimase etapi AppleScripti hankimist süsteemiteabe kogumise ja moodulite täitmise eest boot() funktsiooni kaudu.
Kuidas XCSSET nakatab macOS-i
XCSSET sihib peamiselt tarkvaraarendajate kasutatavaid Xcode'i projekte. Nende projektide loomisel aktiveerub ja käivitab pahavara oma pahatahtlikud moodulid. Kuigi täpne levikumeetod on ebaselge, kahtlustatakse, et jagatud või kloonitud Xcode'i projektid on peamine levikuvektor.
Selle aasta alguses märkisid teadlased täiustusi, sealhulgas paremat veakäsitlust ja kolme püsivustehnika rakendamist, mis on loodud tundlike andmete hankimiseks ohustatud süsteemidest.
Uued ja uuendatud moodulid
Uusim variant sisaldab mitmeid uusi või muudetud mooduleid, millest igaüks täidab spetsiifilisi pahatahtlikke funktsioone:
vexyeqj (endine seizecj)
- Laadib osascripti abil alla mooduli nimega bnk.
- Tegeleb andmete valideerimise, krüpteerimise/dekrüpteerimise, C2-suhtluse ja logimisega.
- Sisaldab lõikelaua kaaperdamise võimalusi.
neq_cdyd_ilvcmwx
- Eksfiltreerib failid C2 serverisse, sarnaselt vanema txzx_vostfdi mooduliga.
xmyyeqjx
- Loob LaunchDaemoni-põhise püsivuse.
jey
- Rakendab Git-põhist püsivust.
iewmilh_cdyd
- Varastab Firefoxi brauseriandmeid modifitseeritud HackBrowserData tööriista abil.
Lisavärskenduste hulka kuuluvad Telegrami sõnumsiderakenduse kontrollid ja loogikamuudatused erinevates moodulites.
Leevendus- ja ohutusmeetmed
XCSSET-i tekitatava riski vähendamiseks peaksid macOS-i kasutajad tegema järgmist:
- Hoidke oma süsteeme ja tarkvara täielikult ajakohasena.
- Kontrollige hoolikalt repositooriumidest või välistest allikatest saadud Xcode'i projekte.
- Olge tundliku teabe, eriti krüptovaluuta rahakottide aadresside kopeerimisel või kleepimisel ettevaatlik.
See struktureeritud vorming toob esile pahavara arengu, tehnilised üksikasjad ja praktilised leevendusnõuanded, säilitades samal ajal kogu olulise teabe.
