XCSSET macOS kenkėjiška programa
Kibernetinio saugumo tyrėjai nustatė naują, sudėtingesnį XCSSET kenkėjiškos programos variantą, skirtą „Apple macOS“. Nors šiuo metu stebima tik ribotų atakų metu, ši atnaujinta versija pasižymi žymiai patobulintomis slaptumo, atkaklumo ir duomenų nutekėjimo savybėmis.
Turinys
Kuo šis variantas skiriasi?
Naujausioje XCSSET versijoje yra keletas svarbių pakeitimų:
Naršyklės ir iškarpinių taikinys : dabar stebi iškarpinių turinį, ieškodamas kriptovaliutų piniginių adresų, ir pakeičia juos užpuoliko kontroliuojamais adresais, kad užgrobtų operacijas.
Išplėstinė duomenų vagystė : kenkėjiška programa dabar gali išgauti duomenis ne tik iš „Safari“, bet ir iš „Mozilla Firefox“.
Slaptumas ir pastovumas : Naudojant tik paleidimui kompiliuotus „AppleScripts“ ir „LaunchDaemon“ įrašus, užkrėstose sistemose sunku aptikti ir palaikyti pastovumą.
Patobulinta užkrato grandinė : Ketvirtojo atakos etapo pakeitimai apima paskutinio etapo „AppleScript“, atsakingo už sistemos informacijos rinkimą ir modulio vykdymą, gavimą naudojant „boot()“ funkciją.
Kaip XCSSET užkrečia macOS
„XCSSET“ pirmiausia taikosi į programinės įrangos kūrėjų naudojamus „Xcode“ projektus. Kai šie projektai kuriami, kenkėjiška programa aktyvuojasi ir vykdo savo kenkėjiškus modulius. Nors tikslus platinimo būdas nėra aiškus, įtariama, kad pagrindinis plitimo vektorius yra bendrinami arba klonuoti „Xcode“ projektai.
Anksčiau šiais metais tyrėjai atkreipė dėmesį į patobulinimus, įskaitant geresnį klaidų tvarkymą ir trijų duomenų saugojimo metodų, skirtų jautrių duomenų išgavimui iš pažeistų sistemų, įdiegimą.
Nauji ir atnaujinti moduliai
Naujausiame variante yra keletas naujų arba modifikuotų modulių, kurių kiekvienas atlieka specifines kenkėjiškas funkcijas:
vexyeqj (anksčiau seizecj)
- Atsisiunčia modulį pavadinimu „bnk“ naudodamas „osascript“.
- Tvarko duomenų patvirtinimą, šifravimą / iššifravimą, C2 ryšį ir registravimą.
- Apima iškarpinės užgrobimo galimybes.
neq_cdyd_ilvcmwx
- Išfiltruoja failus į C2 serverį, panašiai kaip senesnis „txzx_vostfdi“ modulis.
xmyyeqjx
- Nustato „LaunchDaemon“ pagrindu veikiantį pastovumą.
Džejus
- Įgyvendina „Git“ pagrindu veikiantį atkaklumą.
iewmilh_cdyd
- Vagia „Firefox“ naršyklės duomenis naudodamas modifikuotą „HackBrowserData“ įrankį.
Papildomi atnaujinimai apima „Telegram“ pranešimų programėlės patikrinimus ir logikos modifikacijas įvairiuose moduliuose.
Švelninimo ir saugos priemonės
Norėdami sumažinti XCSSET keliamą riziką, macOS naudotojai turėtų:
- Nuolat atnaujinti savo sistemas ir programinę įrangą.
- Atidžiai patikrinkite „Xcode“ projektus, gautus iš saugyklų arba išorinių šaltinių.
- Kopijuodami ar įklijuodami neskelbtiną informaciją, ypač kriptovaliutų piniginių adresus, būkite atsargūs.
Šis struktūrizuotas formatas pabrėžia kenkėjiškos programos evoliuciją, technines detales ir praktinius patarimus dėl jos mažinimo, išsaugant visą esminę informaciją.
