قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار مک بدافزار XCSSET macOS

بدافزار XCSSET macOS

تا Mezo در بدافزار مک
ترجمه به:

محققان امنیت سایبری نوع جدید و پیچیده‌تری از بدافزار XCSSET را شناسایی کرده‌اند که سیستم‌عامل مک اپل را هدف قرار می‌دهد. اگرچه در حال حاضر در حملات محدود مشاهده شده است، این نسخه به‌روزرسانی‌شده پیشرفت‌های قابل توجهی در مخفی‌کاری، پایداری و استخراج داده‌ها نشان می‌دهد.

چه چیزی این نسخه را متفاوت می‌کند؟

آخرین نسخه XCSSET چندین تغییر کلیدی را معرفی می‌کند:

هدف قرار دادن مرورگر و کلیپ‌بورد : اکنون محتوای کلیپ‌بورد را برای آدرس‌های کیف پول ارز دیجیتال رصد می‌کند و آنها را با آدرس‌های تحت کنترل مهاجم جایگزین می‌کند تا تراکنش‌ها را بدزدد.

سرقت گسترده داده‌ها : این بدافزار اکنون علاوه بر سافاری، می‌تواند داده‌ها را از موزیلا فایرفاکس نیز استخراج کند.

مخفی‌کاری و ماندگاری : با استفاده از ورودی‌های کامپایل‌شده‌ی AppleScripts و LaunchDaemon که فقط در حال اجرا هستند، تشخیص و ماندگاری در سیستم‌های آلوده همچنان دشوار است.

زنجیره آلودگی بهبود یافته : تغییرات در مرحله چهارم حمله شامل واکشی یک AppleScript مرحله نهایی است که مسئول جمع‌آوری اطلاعات سیستم و اجرای ماژول از طریق تابع boot() است.

چگونه XCSSET سیستم عامل macOS را آلوده می‌کند

XCSSET در درجه اول پروژه‌های Xcode مورد استفاده توسعه‌دهندگان نرم‌افزار را هدف قرار می‌دهد. هنگامی که این پروژه‌ها ساخته می‌شوند، بدافزار ماژول‌های مخرب خود را فعال و اجرا می‌کند. در حالی که روش دقیق توزیع مشخص نیست، گمان می‌رود که پروژه‌های Xcode مشترک یا شبیه‌سازی شده، عامل اصلی باشند.

اوایل امسال، محققان به پیشرفت‌هایی از جمله مدیریت بهتر خطا و پیاده‌سازی سه تکنیک پایداری که برای استخراج داده‌های حساس از سیستم‌های آسیب‌دیده طراحی شده‌اند، اشاره کردند.

ماژول‌های جدید و به‌روز شده

آخرین نوع این بدافزار دارای چندین ماژول جدید یا اصلاح‌شده است که هر کدام عملکردهای مخرب خاصی را انجام می‌دهند:

vexyeqj (قبلاً capturecj)

  • با استفاده از osascript ماژولی به نام bnk را دانلود می‌کند.
  • اعتبارسنجی داده‌ها، رمزگذاری/رمزگشایی، ارتباط C2 و ثبت وقایع را مدیریت می‌کند.
  • شامل قابلیت‌های ربودن کلیپ‌بورد می‌شود.

neq_cdyd_ilvcmwx

  • مشابه ماژول قدیمی‌تر txzx_vostfdi، فایل‌ها را به سرور C2 منتقل می‌کند.

xmyyeqjx

  • پایداری مبتنی بر LaunchDaemon را برقرار می‌کند.

جی

  • پایداری مبتنی بر گیت را پیاده‌سازی می‌کند.

iewmilh_cdy

  • با استفاده از ابزار اصلاح‌شده‌ی HackBrowserData، داده‌های مرورگر فایرفاکس را می‌دزدد.

به‌روزرسانی‌های اضافی شامل بررسی‌های مربوط به برنامه پیام‌رسان تلگرام و تغییرات منطقی در ماژول‌های مختلف است.

اقدامات کاهش و ایمنی

برای کاهش خطر ناشی از XCSSET، کاربران macOS باید:

  • سیستم‌ها و نرم‌افزارهایشان را کاملاً به‌روز نگه دارند.
  • پروژه‌های Xcode که از مخازن یا منابع خارجی دریافت شده‌اند را با دقت بررسی کنید.
  • هنگام کپی کردن یا پیست کردن اطلاعات حساس، به خصوص آدرس‌های کیف پول ارزهای دیجیتال، احتیاط کنید.

این قالب ساختاریافته، سیر تکامل بدافزار، جزئیات فنی و توصیه‌های عملی برای کاهش اثرات آن را برجسته می‌کند و در عین حال تمام اطلاعات ضروری را دست‌نخورده نگه می‌دارد.

پرطرفدار

کلاهبرداری ایمیلی با پیام‌های منتظر توجه شما

فیشینگ, هرزنامه
ایمیل همچنان یکی از رایج‌ترین مسیرهای حمله برای مجرمان سایبری است و کلاهبرداری‌هایی که در قالب اعلان‌های حساب کاربری پنهان می‌شوند، به ویژه خطرناک هستند. یکی از این کمپین‌های کلاهبرداری، کلاهبرداری ایمیلی «پیام‌هایی در انتظار توجه شما» است که گیرندگان را فریب می‌دهد تا از سایت‌های فیشینگ که برای سرقت اطلاعات حساس طراحی شده‌اند، بازدید کنند. درک نحوه عملکرد این طرح برای جلوگیری از سرقت هویت،...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
34,616
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...