XCSSET macOS-haittaohjelma

Kyberturvallisuustutkijat ovat tunnistaneet uuden, kehittyneemmän XCSSET-haittaohjelman variantin, joka kohdistuu Apple macOS:ään. Vaikka sitä havaitaan tällä hetkellä rajoitetuissa hyökkäyksissä, tämä päivitetty versio osoittaa merkittäviä parannuksia piilotusominaisuuksissa, pysyvyydessä ja tiedon vuotamisessa.

Mikä tekee tästä variantista erilaisen?

Uusin XCSSET-versio tuo mukanaan useita keskeisiä muutoksia:

Selain- ja leikepöydän kohdentaminen : Se tarkkailee nyt leikepöydän sisältöä kryptovaluuttalompakoiden osoitteiden varalta ja korvaa ne hyökkääjän hallitsemilla osoitteilla tapahtumien kaappaamiseksi.

Laajennettu tietovarkaus : Safarin lisäksi haittaohjelma voi nyt vuotaa tietoja myös Mozilla Firefoxista.

Hiiviskely ja pysyvyys : Käyttämällä vain suoritettavaksi käännettyjä AppleScripts-komentoskriptejä ja LaunchDaemon-merkintöjä on edelleen vaikea havaita ja ylläpitää pysyvyyttä tartunnan saaneissa järjestelmissä.

Parannettu tartuntaketju : Hyökkäyksen neljännen vaiheen muutokset sisältävät viimeisen vaiheen AppleScript-koodin hakemisen boot()-funktion kautta, joka vastaa järjestelmätietojen keräämisestä ja moduulien suorittamisesta.

Miten XCSSET tartuttaa macOS:n

XCSSET kohdistuu ensisijaisesti ohjelmistokehittäjien käyttämiin Xcode-projekteihin. Kun nämä projektit rakennetaan, haittaohjelma aktivoituu ja suorittaa haitalliset moduulinsa. Vaikka tarkka levitystapa on epäselvä, epäillään, että jaetut tai kloonatut Xcode-projektit ovat merkittävä tartuntavektori.

Aiemmin tänä vuonna tutkijat huomasivat parannuksia, kuten paremman virheenkäsittelyn ja kolmen pysyvyystekniikan käyttöönoton, jotka on suunniteltu siirtämään arkaluonteisia tietoja vaarantuneista järjestelmistä.

Uudet ja päivitetyt moduulit

Uusimmassa versiossa on useita uusia tai muokattuja moduuleja, joista jokainen suorittaa tiettyjä haitallisia toimintoja:

vexyeqj (entinen seizecj)

• Lataa bnk-nimisen moduulin osascriptin avulla.
• Hoitaa datan validoinnin, salauksen/salauksen purkamisen, C2-viestinnän ja lokinkirjoituksen.
• Sisältää leikepöydän kaappausominaisuudet.

neq_cdyd_ilvcmwx

• Siirtää tiedostot C2-palvelimelle samalla tavalla kuin vanhempi txzx_vostfdi-moduuli.

xmyyeqjx

• Muodostaa LaunchDaemon-pohjaisen pysyvyyden.

jey

• Toteuttaa Git-pohjaisen pysyvyyden.

iewmilh_cdyd

• Varastaa Firefox-selaintietoja muokatulla HackBrowserData-työkalulla.

Lisäpäivityksiin kuuluvat Telegram-viestisovelluksen tarkistukset ja logiikkamuutokset eri moduuleissa.

Lieventävät ja turvatoimenpiteet

XCSSET:n aiheuttaman riskin vähentämiseksi macOS-käyttäjien tulisi:

• Pidä järjestelmät ja ohjelmistot täysin ajan tasalla.
• Tarkasta huolellisesti repositorioista tai ulkoisista lähteistä saadut Xcode-projektit.
• Ole varovainen kopioidessasi tai liittäessäsi arkaluonteisia tietoja, erityisesti kryptovaluuttalompakoiden osoitteita.

Tämä jäsennelty muoto korostaa haittaohjelman kehitystä, teknisiä yksityiskohtia ja käytännön neuvoja sen torjumiseksi säilyttäen kaikki olennaiset tiedot ennallaan.