Malware XCSSET per macOS
I ricercatori di sicurezza informatica hanno identificato una nuova variante più sofisticata del malware XCSSET che prende di mira Apple macOS. Sebbene attualmente sia stata osservata in attacchi limitati, questa versione aggiornata mostra miglioramenti significativi in termini di furtività, persistenza ed esfiltrazione dei dati.
Sommario
Cosa rende diversa questa variante?
L'ultima versione di XCSSET introduce diverse modifiche chiave:
Browser e targeting degli appunti : ora monitora il contenuto degli appunti per individuare gli indirizzi dei wallet di criptovalute, sostituendoli con indirizzi controllati dagli aggressori per dirottare le transazioni.
Furto di dati esteso : oltre a Safari, il malware ora può esfiltrare dati da Mozilla Firefox.
Stealth e persistenza : utilizzando voci AppleScript e LaunchDaemon compilati solo per l'esecuzione, resta difficile rilevare e mantenere la persistenza sui sistemi infetti.
Catena di infezione migliorata : le modifiche alla quarta fase dell'attacco comportano il recupero di un AppleScript di fase finale responsabile della raccolta delle informazioni di sistema e dell'esecuzione del modulo tramite una funzione boot().
Come XCSSET infetta macOS
XCSSET prende di mira principalmente i progetti Xcode utilizzati dagli sviluppatori software. Quando questi progetti vengono creati, il malware attiva ed esegue i suoi moduli dannosi. Sebbene il metodo di distribuzione esatto non sia chiaro, si sospetta che i progetti Xcode condivisi o clonati siano un vettore importante.
All'inizio di quest'anno, i ricercatori hanno notato miglioramenti, tra cui una migliore gestione degli errori e l'implementazione di tre tecniche di persistenza progettate per sottrarre dati sensibili dai sistemi compromessi.
Moduli nuovi e aggiornati
L'ultima variante presenta diversi moduli nuovi o modificati, ognuno dei quali esegue specifiche funzioni dannose:
vexyeqj (precedentemente seizecj)
- Scarica un modulo denominato bnk utilizzando osascript.
- Gestisce la convalida dei dati, la crittografia/decrittografia, la comunicazione C2 e la registrazione.
- Incorpora funzionalità di dirottamento degli appunti.
neq_cdyd_ilvcmwx
- Esfiltra i file sul server C2, in modo simile al vecchio modulo txzx_vostfdi.
xmyyeqjx
- Stabilisce la persistenza basata su LaunchDaemon.
jey
- Implementa la persistenza basata su Git.
iewmilh_cdyd
- Ruba i dati del browser Firefox utilizzando uno strumento HackBrowserData modificato.
Ulteriori aggiornamenti includono controlli per l'app di messaggistica Telegram e modifiche logiche in vari moduli.
Misure di mitigazione e sicurezza
Per ridurre il rischio rappresentato da XCSSET, gli utenti macOS dovrebbero:
- Mantenere i loro sistemi e software completamente aggiornati.
- Esaminare attentamente i progetti Xcode ottenuti da repository o fonti esterne.
- Prestare attenzione quando si copiano o si incollano informazioni sensibili, in particolare gli indirizzi dei portafogli di criptovalute.
Questo formato strutturato evidenzia l'evoluzione del malware, i dettagli tecnici e i consigli pratici per mitigarlo, mantenendo intatte tutte le informazioni essenziali.
