មេរោគ XCSSET macOS

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណប្រភេទមេរោគ XCSSET Malware ថ្មីដែលមានលក្ខណៈទំនើបជាងមុន ដែលផ្តោតលើ Apple macOS ។ ខណៈពេលដែលបច្ចុប្បន្នត្រូវបានគេសង្កេតឃើញនៅក្នុងការវាយប្រហារដែលមានកម្រិត កំណែដែលបានអាប់ដេតនេះបង្ហាញពីការពង្រឹងយ៉ាងសំខាន់ក្នុងការបំបាំងកាយ ការតស៊ូ និងការបណ្តេញទិន្នន័យ។

តើអ្វីធ្វើឱ្យវ៉ារ្យ៉ង់នេះខុសគ្នា?

កំណែ XCSSET ចុងក្រោយបង្អស់ណែនាំការផ្លាស់ប្តូរសំខាន់ៗមួយចំនួន៖

ការកំណត់គោលដៅរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិត និងក្ដារតម្បៀតខ្ទាស់ ៖ ឥឡូវនេះវាត្រួតពិនិត្យមាតិកាក្ដារតម្បៀតខ្ទាស់សម្រាប់អាសយដ្ឋានកាបូបរូបិយប័ណ្ណគ្រីបតូ ដោយជំនួសវាដោយអាសយដ្ឋានដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារដើម្បីប្លន់ប្រតិបត្តិការ។

ការលួចទិន្នន័យដែលបានពង្រីក ៖ លើសពី Safari ឥឡូវនេះមេរោគអាចទាញយកទិន្នន័យចេញពី Mozilla Firefox ។

Stealth and Persistence ៖ ដោយប្រើប្រាស់ធាតុ AppleScripts និង LaunchDaemon ដែលបានចងក្រងតែដំណើរការប៉ុណ្ណោះ វានៅតែពិបាកក្នុងការស្វែងរក និងរក្សាការជាប់លាប់នៅលើប្រព័ន្ធមេរោគ។

ការកែលម្អខ្សែសង្វាក់ឆ្លងមេរោគ ៖ ការផ្លាស់ប្តូរទៅដំណាក់កាលទី 4 នៃការវាយប្រហារពាក់ព័ន្ធនឹងការទៅយក AppleScript ដំណាក់កាលចុងក្រោយដែលទទួលខុសត្រូវចំពោះការប្រមូលព័ត៌មានប្រព័ន្ធ និងការប្រតិបត្តិម៉ូឌុលតាមរយៈមុខងារ boot() ។

របៀបដែល XCSSET ឆ្លង macOS

XCSSET កំណត់គោលដៅជាចម្បងលើគម្រោង Xcode ដែលប្រើដោយអ្នកបង្កើតកម្មវិធី។ នៅពេលដែលគម្រោងទាំងនេះត្រូវបានបង្កើតឡើង មេរោគនឹងដំណើរការ និងដំណើរការម៉ូឌុលព្យាបាទរបស់វា។ ខណៈពេលដែលវិធីសាស្ត្រចែកចាយពិតប្រាកដមិនច្បាស់លាស់ វាត្រូវបានគេសង្ស័យថាគម្រោង Xcode ដែលបានចែករំលែក ឬក្លូនគឺជាវ៉ិចទ័រដ៏សំខាន់។

កាលពីដើមឆ្នាំនេះ អ្នកស្រាវជ្រាវបានកត់សម្គាល់ការកែលម្អរួមទាំងការដោះស្រាយកំហុសកាន់តែប្រសើរឡើង និងការអនុវត្តបច្ចេកទេសជាប់លាប់ចំនួនបីដែលត្រូវបានរចនាឡើងដើម្បីទាញយកទិន្នន័យរសើបចេញពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។

ម៉ូឌុលថ្មី និងអាប់ដេត

វ៉ារ្យ៉ង់ចុងក្រោយបង្អស់មានលក្ខណៈពិសេសមួយចំនួននៃម៉ូឌុលថ្មី ឬដែលបានកែប្រែ ដែលនីមួយៗដំណើរការមុខងារព្យាបាទជាក់លាក់៖

vexyeqj (ពីមុនរឹបអូស)

• ទាញយកម៉ូឌុលដែលមានឈ្មោះថា bnk ដោយប្រើ osascript ។
• ដោះស្រាយសុពលភាពទិន្នន័យ ការអ៊ិនគ្រីប/ឌិគ្រីប ការទំនាក់ទំនង C2 និងការកត់ត្រា។
• រួមបញ្ចូលនូវសមត្ថភាពប្លន់ក្ដារតម្បៀតខ្ទាស់។

neq_cdyd_ilvcmwx

• បន្សុទ្ធឯកសារទៅម៉ាស៊ីនមេ C2 ស្រដៀងនឹងម៉ូឌុល txzx_vostfdi ចាស់។

xmyyeqjx

• បង្កើតការតស៊ូផ្អែកលើ LaunchDaemon ។

ជេ

• អនុវត្តការតស៊ូផ្អែកលើ Git ។

iewmilh_cdyd

• លួចទិន្នន័យកម្មវិធីរុករកតាមអ៊ីនធឺណិត Firefox ដោយប្រើឧបករណ៍ HackBrowserData ដែលបានកែប្រែ។

ការអាប់ដេតបន្ថែមរួមមានការត្រួតពិនិត្យកម្មវិធីផ្ញើសារ Telegram និងការកែប្រែតក្កវិជ្ជាតាមម៉ូឌុលផ្សេងៗ។

វិធានការកាត់បន្ថយ និងសុវត្ថិភាព

ដើម្បីកាត់បន្ថយហានិភ័យដែលបង្កឡើងដោយ XCSSET អ្នកប្រើប្រាស់ macOS គួរ៖

• រក្សាប្រព័ន្ធ និងកម្មវិធីរបស់ពួកគេឱ្យទាន់សម័យពេញលេញ។
• ពិនិត្យដោយប្រុងប្រយ័ត្ននូវគម្រោង Xcode ដែលទទួលបានពីឃ្លាំង ឬប្រភពខាងក្រៅ។
• សូមប្រុងប្រយ័ត្ននៅពេលចម្លង ឬបិទភ្ជាប់ព័ត៌មានរសើប ជាពិសេសអាសយដ្ឋានកាបូបលុយគ្រីបតូ។

ទម្រង់ដែលមានរចនាសម្ព័ន្ធនេះបង្ហាញពីការវិវត្តន៍របស់មេរោគ ព័ត៌មានលម្អិតបច្ចេកទេស និងការណែនាំអំពីការកាត់បន្ថយជាក់ស្តែង ខណៈពេលដែលរក្សាព័ត៌មានសំខាន់ៗទាំងអស់នៅដដែល។