XCSSET macOS Malware

Badacze cyberbezpieczeństwa zidentyfikowali nową, bardziej zaawansowaną odmianę złośliwego oprogramowania XCSSET, atakującą system Apple macOS. Chociaż obecnie obserwuje się ją w ograniczonych atakach, ta zaktualizowana wersja oferuje znaczące udoskonalenia w zakresie ukrywania się, trwałości i eksfiltracji danych.

Czym różni się ta wersja?

Najnowsza wersja XCSSET wprowadza kilka kluczowych zmian:

Celowanie w przeglądarki i schowek : Teraz monitoruje zawartość schowka w celu znalezienia adresów portfeli kryptowalutowych i zastępuje je adresami kontrolowanymi przez atakujących w celu przejęcia transakcji.

Rozszerzona kradzież danych : Oprócz przeglądarki Safari złośliwe oprogramowanie może teraz wykradać dane z przeglądarki Mozilla Firefox.

Ukrycie i trwałość : Korzystając z kompilowanych tylko do uruchomienia skryptów AppleScripts i wpisów LaunchDaemon, nadal trudno jest wykryć i utrzymać trwałość w zainfekowanych systemach.

Ulepszony łańcuch infekcji : Zmiany w czwartym etapie ataku obejmują pobranie końcowego kodu AppleScript odpowiedzialnego za zbieranie informacji o systemie i wykonywanie modułu za pomocą funkcji boot().

Jak XCSSET infekuje system macOS

XCSSET atakuje głównie projekty Xcode wykorzystywane przez programistów. Po utworzeniu tych projektów złośliwe oprogramowanie aktywuje i uruchamia swoje szkodliwe moduły. Chociaż dokładna metoda dystrybucji nie jest jasna, podejrzewa się, że głównym wektorem ataku są współdzielone lub klonowane projekty Xcode.

Na początku tego roku badacze odnotowali usprawnienia, w tym lepsze radzenie sobie z błędami i wdrożenie trzech technik trwałości, mających na celu wykradanie poufnych danych z naruszonych systemów.

Nowe i zaktualizowane moduły

Najnowsza wersja zawiera kilka nowych lub zmodyfikowanych modułów, z których każdy wykonuje określone złośliwe funkcje:

vexyeqj (dawniej seizecj)

• Pobiera moduł o nazwie bnk za pomocą osascript.
• Zajmuje się sprawdzaniem poprawności danych, szyfrowaniem/deszyfrowaniem, komunikacją C2 i rejestrowaniem.
• Zawiera funkcje przechwytywania schowka.

neq_cdyd_ilvcmwx

• Eksfiltruje pliki na serwer C2, podobnie jak starszy moduł txzx_vostfdi.

xmyyeqjx

• Ustanawia trwałość opartą na LaunchDaemon.

jeju

• Implementuje trwałość opartą na Git.

iewmilh_cdyd

• Kradnie dane przeglądarki Firefox przy użyciu zmodyfikowanego narzędzia HackBrowserData.

Dodatkowe aktualizacje obejmują kontrole aplikacji do przesyłania wiadomości Telegram i modyfikacje logiki w różnych modułach.

Środki łagodzące i bezpieczeństwa

Aby zmniejszyć ryzyko związane z XCSSET, użytkownicy systemu macOS powinni:

• Utrzymuj pełną aktualizację swoich systemów i oprogramowania.
• Dokładnie sprawdź projekty Xcode pobrane z repozytoriów lub źródeł zewnętrznych.
• Należy zachować ostrożność kopiując lub wklejając poufne informacje, zwłaszcza adresy portfeli kryptowalutowych.

Ten ustrukturyzowany format podkreśla ewolucję złośliwego oprogramowania, szczegóły techniczne i praktyczne porady dotyczące ograniczania jego wpływu, jednocześnie zachowując wszystkie istotne informacje.