XCSSET macOS 맬웨어

사이버 보안 연구원들이 Apple macOS를 표적으로 삼는 더욱 정교한 XCSSET 악성코드의 새로운 변종을 발견했습니다. 현재는 제한적인 공격에서만 발견되고 있지만, 이번 업데이트된 버전은 은밀성, 지속성, 데이터 유출 측면에서 상당한 개선을 보여줍니다.

이 변형의 차이점은 무엇인가?

최신 XCSSET 버전에는 몇 가지 주요 변경 사항이 도입되었습니다.

브라우저 및 클립보드 타겟팅 : 이제 암호화폐 지갑 주소에 대한 클립보드 내용을 모니터링하여 공격자가 제어하는 주소로 대체하여 거래를 해킹합니다.

확대된 데이터 유출 : Safari를 넘어 이제 맬웨어는 Mozilla Firefox에서도 데이터를 유출할 수 있습니다.

은밀성과 지속성 : 실행 전용으로 컴파일된 AppleScript와 LaunchDaemon 항목을 사용하면 감염된 시스템에서 탐지하고 지속성을 유지하는 것이 어렵습니다.

감염 체인 개선 : 공격의 네 번째 단계에 대한 변경 사항은 boot() 함수를 통해 시스템 정보 수집 및 모듈 실행을 담당하는 최종 단계 AppleScript를 가져오는 것을 포함합니다.

XCSSET이 macOS를 감염시키는 방법

XCSSET은 주로 소프트웨어 개발자가 사용하는 Xcode 프로젝트를 표적으로 삼습니다. 이러한 프로젝트가 빌드되면 악성 코드가 활성화되어 악성 모듈을 실행합니다. 정확한 유포 방식은 불분명하지만, 공유되거나 복제된 Xcode 프로젝트가 주요 감염 경로로 추정됩니다.

올해 초 연구자들은 향상된 오류 처리와 손상된 시스템에서 민감한 데이터를 빼돌리도록 설계된 세 가지 지속성 기술의 구현을 포함한 개선 사항을 언급했습니다.

새롭고 업데이트된 모듈

최신 변종에는 여러 개의 새 모듈이나 수정된 모듈이 포함되어 있으며, 각각은 특정 악성 기능을 수행합니다.

vexyeqj (이전 seizecj)

• osascript를 사용하여 bnk라는 모듈을 다운로드합니다.
• 데이터 검증, 암호화/복호화, C2 통신, 로깅을 처리합니다.
• 클립보드 하이재킹 기능을 통합했습니다.

neq_cdyd_ilvcmwx

• 이전 txzx_vostfdi 모듈과 비슷하게 C2 서버로 파일을 빼냅니다.

xmyyeqjx

• LaunchDaemon 기반 지속성을 설정합니다.

제이

• Git 기반 지속성을 구현합니다.

이우밀흐_치디드

• 수정된 HackBrowserData 도구를 사용하여 Firefox 브라우저 데이터를 훔칩니다.

추가 업데이트에는 Telegram 메시징 앱에 대한 점검과 다양한 모듈에 걸친 로직 수정이 포함됩니다.

완화 및 안전 조치

XCSSET으로 인한 위험을 줄이려면 macOS 사용자는 다음을 수행해야 합니다.

• 시스템과 소프트웨어를 항상 최신 상태로 유지하세요.
• 저장소나 외부 소스에서 얻은 Xcode 프로젝트를 주의 깊게 검사하세요.
• 특히 암호화폐 지갑 주소와 같은 민감한 정보를 복사하거나 붙여넣을 때는 주의하세요.

이 구조화된 형식은 모든 필수 정보를 그대로 유지하면서 맬웨어의 진화, 기술적 세부 사항 및 실질적인 완화 조언을 강조합니다.