Rabatttilbud for flere lisenser
Trusseldatabase Mac Malware XCSSET macOS-skadevare

XCSSET macOS-skadevare

Med Mezo i Mac Malware
Oversett til:

Forskere på nettsikkerhet har identifisert en ny, mer sofistikert variant av XCSSET-skadevaren som er rettet mot Apple macOS. Selv om den for øyeblikket observeres i begrensede angrep, viser denne oppdaterte versjonen betydelige forbedringer innen stealth, persistens og datautvinning.

Hva gjør denne varianten annerledes?

Den nyeste XCSSET-versjonen introduserer flere viktige endringer:

Målretting mot nettleser og utklippstavle : Den overvåker nå innholdet i utklippstavlen for å finne adresser i kryptovalutalommebøker, og erstatter dem med angriperkontrollerte adresser for å kapre transaksjoner.

Utvidet datatyveri : Utover Safari kan skadevaren nå stjæle data fra Mozilla Firefox.

Skjult og vedvarende : Ved å bruke AppleScripts og LaunchDaemon-oppføringer som kun er kompilert for kjøring, er det fortsatt vanskelig å oppdage og opprettholde vedvarende funksjoner på infiserte systemer.

Forbedret infeksjonskjede : Endringer i angrepets fjerde fase innebærer henting av et AppleScript i siste fase som er ansvarlig for innsamling av systeminformasjon og modulutførelse via en boot()-funksjon.

Hvordan XCSSET infiserer macOS

XCSSET retter seg primært mot Xcode-prosjekter som brukes av programvareutviklere. Når disse prosjektene bygges, aktiverer og kjører skadevaren sine skadelige moduler. Selv om den nøyaktige distribusjonsmetoden er uklar, mistenkes det at delte eller klonede Xcode-prosjekter er en viktig vektor.

Tidligere i år bemerket forskere forbedringer, inkludert bedre feilhåndtering og implementering av tre persistensteknikker som er utviklet for å suge sensitive data ut av kompromitterte systemer.

Nye og oppdaterte moduler

Den nyeste varianten har flere nye eller modifiserte moduler, som hver utfører spesifikke ondsinnede funksjoner:

vexyeqj (tidligere seizecj)

  • Laster ned en modul kalt bnk ved hjelp av osascript.
  • Håndterer datavalidering, kryptering/dekryptering, C2-kommunikasjon og logging.
  • Inkluderer kapringsmuligheter for utklippstavler.

neq_cdyd_ilvcmwx

  • Eksfiltrerer filer til C2-serveren, på samme måte som den eldre txzx_vostfdi-modulen.

xmyyeqjx

  • Etablerer LaunchDaemon-basert persistens.

jey

  • Implementerer Git-basert persistens.

iewmilh_cdyd

  • Stjeler Firefox-nettleserdata ved hjelp av et modifisert HackBrowserData-verktøy.

Ytterligere oppdateringer inkluderer kontroller for Telegram-meldingsappen og logiske modifikasjoner på tvers av ulike moduler.

Avbøtende og sikkerhetstiltak

For å redusere risikoen som XCSSET utgjør, bør macOS-brukere:

  • Hold systemene og programvaren deres fullstendig oppdatert.
  • Undersøk Xcode-prosjekter hentet fra arkiver eller eksterne kilder nøye.
  • Vær forsiktig når du kopierer eller limer inn sensitiv informasjon, spesielt adresser til kryptovaluta-lommebøker.

Dette strukturerte formatet fremhever utviklingen av skadelig programvare, tekniske detaljer og praktiske råd om begrensninger, samtidig som all viktig informasjon holdes intakt.

Trender

Mest sett

Laster inn...