XCSSET macOS ļaunprogrammatūra
Kiberdrošības pētnieki ir identificējuši jaunu, sarežģītāku XCSSET ļaunprogrammatūras variantu, kas vērsts pret Apple macOS. Lai gan pašlaik tas ir novērots ierobežotos uzbrukumos, šī atjauninātā versija demonstrē ievērojamus uzlabojumus slepenības, noturības un datu noplūdes ziņā.
Satura rādītājs
Kas padara šo variantu atšķirīgu?
Jaunākajā XCSSET versijā ir ieviestas vairākas būtiskas izmaiņas:
Mērķauditorijas atlasīšana pārlūkprogrammā un starpliktuvē : Tagad tā uzrauga starpliktuves saturu, meklējot kriptovalūtas maku adreses, aizstājot tās ar uzbrucēju kontrolētām adresēm, lai nolaupītu darījumus.
Paplašināta datu zādzība : Papildus Safari, ļaunprogrammatūra tagad var izgūt datus arī no Mozilla Firefox.
Slepenība un noturība : Izmantojot tikai palaišanai kompilētus AppleScripts un LaunchDaemon ierakstus, inficētās sistēmās joprojām ir grūti noteikt un uzturēt noturību.
Uzlabota inficēšanas ķēde : Izmaiņas uzbrukuma ceturtajā posmā ietver pēdējā posma AppleScript koda, kas atbild par sistēmas informācijas vākšanu un moduļu izpildi, iegūšanu, izmantojot funkciju boot().
Kā XCSSET inficē macOS
XCSSET galvenokārt ir vērsts pret Xcode projektiem, ko izmanto programmatūras izstrādātāji. Kad šie projekti tiek veidoti, ļaunprogrammatūra aktivizējas un izpilda savus ļaunprātīgos moduļus. Lai gan precīza izplatīšanas metode nav skaidra, pastāv aizdomas, ka galvenais izplatības vektors ir koplietoti vai klonēti Xcode projekti.
Šī gada sākumā pētnieki atzīmēja uzlabojumus, tostarp labāku kļūdu apstrādi un trīs noturības metožu ieviešanu, kas paredzētas sensitīvu datu izsūknēšanai no apdraudētām sistēmām.
Jauni un atjaunināti moduļi
Jaunākajā variantā ir vairāki jauni vai modificēti moduļi, katrs no kuriem veic noteiktas ļaunprātīgas funkcijas:
vexyeqj (agrāk seizecj)
- Lejupielādē moduli ar nosaukumu bnk, izmantojot osascript.
- Nodarbojas ar datu validāciju, šifrēšanu/atšifrēšanu, C2 komunikāciju un reģistrēšanu.
- Iekļauts starpliktuves nolaupīšanas iespējas.
neq_cdyd_ilvcmwx
- Izfiltrē failus uz C2 serveri, līdzīgi kā vecākais txzx_vostfdi modulis.
xmyyeqjx
- Izveido uz LaunchDaemon balstītu noturību.
Džejs
- Ievieš uz Git balstītu noturību.
iewmilh_cdyd
- Nozog Firefox pārlūka datus, izmantojot modificētu HackBrowserData rīku.
Papildu atjauninājumi ietver Telegram ziņojumapmaiņas lietotnes pārbaudes un loģikas modifikācijas dažādos moduļos.
Riska mazināšanas un drošības pasākumi
Lai mazinātu XCSSET radīto risku, macOS lietotājiem jāveic šādas darbības:
- Pilnībā atjaunināt savas sistēmas un programmatūru.
- Rūpīgi pārbaudiet Xcode projektus, kas iegūti no krātuvēm vai ārējiem avotiem.
- Esiet piesardzīgs, kopējot vai ielīmējot sensitīvu informāciju, īpaši kriptovalūtas maku adreses.
Šajā strukturētajā formātā ir izcelta ļaunprogrammatūras evolūcija, tehniskās detaļas un praktiski ieteikumi riska mazināšanai, vienlaikus saglabājot visu būtisko informāciju neskartu.
