Programe malware XCSSET pentru macOS
Cercetătorii în domeniul securității cibernetice au identificat o variantă nouă, mai sofisticată, a malware-ului XCSSET care vizează Apple macOS. Deși în prezent este observată în atacuri limitate, această versiune actualizată demonstrează îmbunătățiri semnificative în ceea ce privește ascunderea, persistența și exfiltrarea datelor.
Cuprins
Ce face ca această variantă să fie diferită?
Cea mai recentă versiune XCSSET introduce câteva modificări cheie:
Direcționarea către browser și clipboard : Acum monitorizează conținutul clipboardului pentru adresele portofelului de criptomonede, înlocuindu-le cu adrese controlate de atacatori pentru a deturna tranzacțiile.
Furt extins de date : Dincolo de Safari, malware-ul poate acum exfiltra date din Mozilla Firefox.
Stealth și persistență : Folosind AppleScripts compilate doar pentru executare și intrări LaunchDaemon, detectarea și menținerea persistenței pe sistemele infectate rămâne dificilă.
Lanț de infectare îmbunătățit : Modificările aduse etapei a patra a atacului implică preluarea unui AppleScript în etapa finală responsabil pentru colectarea informațiilor de sistem și execuția modulelor prin intermediul unei funcții boot().
Cum infectează XCSSET macOS
XCSSET vizează în principal proiectele Xcode utilizate de dezvoltatorii de software. Când aceste proiecte sunt construite, malware-ul activează și execută modulele sale malițioase. Deși metoda exactă de distribuție este neclară, se suspectează că proiectele Xcode partajate sau clonate reprezintă un vector major.
La începutul acestui an, cercetătorii au observat îmbunătățiri, inclusiv o mai bună gestionare a erorilor și implementarea a trei tehnici de persistență concepute pentru a extrage date sensibile din sistemele compromise.
Module noi și actualizate
Cea mai recentă variantă prezintă mai multe module noi sau modificate, fiecare îndeplinind funcții specifice malițioase:
vexyeqj (fost seizecj)
- Descarcă un modul numit bnk folosind osascript.
- Gestionează validarea datelor, criptarea/decriptarea, comunicarea C2 și înregistrarea în jurnal.
- Încorporează funcții de deturnare a clipboard-ului.
neq_cdyd_ilvcmwx
- Exfiltrează fișierele către serverul C2, similar cu modulul txzx_vostfdi mai vechi.
xmyyeqjx
- Stabilește persistența bazată pe LaunchDaemon.
jey
- Implementează persistența bazată pe Git.
iewmilh_cdyd
- Fură date din browserul Firefox folosind un instrument HackBrowserData modificat.
Printre actualizările suplimentare se numără verificări pentru aplicația de mesagerie Telegram și modificări logice în diverse module.
Măsuri de atenuare și siguranță
Pentru a reduce riscul reprezentat de XCSSET, utilizatorii macOS ar trebui:
- Să își mențină sistemele și software-ul complet actualizate.
- Inspectați cu atenție proiectele Xcode obținute din repozitorii sau surse externe.
- Fiți precauți atunci când copiați sau lipiți informații sensibile, în special adresele portofelelor de criptomonede.
Acest format structurat evidențiază evoluția programelor malware, detaliile tehnice și sfaturile practice de atenuare a acestora, păstrând în același timp intacte toate informațiile esențiale.
