Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mac-malware XCSSET macOS-malware

XCSSET macOS-malware

Tegen Mezo in Mac-malware
Vertalen naar:

Cybersecurityonderzoekers hebben een nieuwe, geavanceerdere variant van de XCSSET-malware geïdentificeerd die gericht is op Apple macOS. Hoewel deze momenteel slechts in beperkte mate wordt aangetroffen, vertoont deze bijgewerkte versie aanzienlijke verbeteringen op het gebied van stealth, persistentie en data-exfiltratie.

Wat maakt deze variant anders?

De nieuwste versie van XCSSET introduceert een aantal belangrijke wijzigingen:

Browser- en klembordtargeting : controleert nu de inhoud van het klembord op adressen van cryptovaluta-wallets en vervangt deze door door aanvallers gecontroleerde adressen om transacties te kapen.

Uitgebreide gegevensdiefstal : de malware kan nu naast Safari ook gegevens uit Mozilla Firefox exfiltreren.

Stealth en persistentie : Door gebruik te maken van alleen-uitvoeren gecompileerde AppleScripts en LaunchDaemon-vermeldingen blijft het lastig om persistentie op geïnfecteerde systemen te detecteren en te behouden.

Verbeterde infectieketen : wijzigingen in de vierde fase van de aanval omvatten het ophalen van een AppleScript in de laatste fase dat verantwoordelijk is voor het verzamelen van systeemgegevens en de uitvoering van modules via een boot()-functie.

Hoe XCSSET macOS infecteert

XCSSET richt zich primair op Xcode-projecten die door softwareontwikkelaars worden gebruikt. Wanneer deze projecten worden gebouwd, activeert en voert de malware de kwaadaardige modules uit. Hoewel de exacte distributiemethode onduidelijk is, vermoedt men dat gedeelde of gekloonde Xcode-projecten een belangrijke vector vormen.

Eerder dit jaar merkten onderzoekers verbeteringen op, waaronder betere foutverwerking en de implementatie van drie persistentietechnieken die zijn ontworpen om gevoelige gegevens uit gecompromitteerde systemen te filteren.

Nieuwe en bijgewerkte modules

De nieuwste variant bevat verschillende nieuwe of aangepaste modules, die elk specifieke schadelijke functies uitvoeren:

vexyeqj (voorheen seizecj)

  • Downloadt een module met de naam bnk met behulp van osascript.
  • Verwerkt gegevensvalidatie, encryptie/decryptie, C2-communicatie en logging.
  • Bevat mogelijkheden om het klembord te kapen.

neq_cdyd_ilvcmwx

  • Exfiltreert bestanden naar de C2-server, vergelijkbaar met de oudere txzx_vostfdi-module.

xmyyeqjx

  • Stelt persistentie in op basis van LaunchDaemon.

jey

  • Implementeert Git-gebaseerde persistentie.

iewmilh_cdyd

  • Steelt Firefox-browsergegevens met behulp van een aangepaste HackBrowserData-tool.

Extra updates omvatten controles voor de Telegram-berichtenapp en logische wijzigingen in verschillende modules.

Mitigatie- en veiligheidsmaatregelen

Om het risico van XCSSET te verminderen, moeten macOS-gebruikers:

  • Zorg ervoor dat hun systemen en software volledig up-to-date zijn.
  • Controleer Xcode-projecten die u uit repositories of externe bronnen haalt, zorgvuldig.
  • Wees voorzichtig met het kopiëren of plakken van gevoelige informatie, vooral adressen van cryptovalutawallets.

Deze gestructureerde indeling benadrukt de ontwikkeling van de malware, technische details en praktisch advies over hoe u de malware kunt beperken. Alle essentiële informatie blijft echter intact.

Trending

Meest bekeken

Bezig met laden...