Вредоносное ПО XCSSET для macOS

Исследователи кибербезопасности обнаружили новый, более сложный вариант вредоносного ПО XCSSET, нацеленного на Apple macOS. Хотя в настоящее время он встречается лишь в отдельных атаках, эта обновлённая версия демонстрирует значительные улучшения в плане скрытности, стойкости и возможности кражи данных.

Что отличает этот вариант?

Последняя версия XCSSET вносит несколько ключевых изменений:

Нацеливание на браузер и буфер обмена : теперь он отслеживает содержимое буфера обмена на предмет адресов криптовалютных кошельков, заменяя их адресами, контролируемыми злоумышленниками, для перехвата транзакций.

Расширенная кража данных : вредоносная программа теперь может похищать данные не только из Safari, но и из Mozilla Firefox.

Скрытность и устойчивость : при использовании скомпилированных только для запуска сценариев AppleScripts и записей LaunchDaemon по-прежнему сложно обнаружить и поддерживать устойчивость в зараженных системах.

Улучшенная цепочка заражения : изменения на четвертом этапе атаки включают в себя извлечение AppleScript последнего этапа, отвечающего за сбор системной информации и выполнение модуля через функцию boot().

Как XCSSET заражает macOS

XCSSET в первую очередь нацелен на проекты Xcode, используемые разработчиками программного обеспечения. При сборке этих проектов вредоносная программа активирует и запускает свои вредоносные модули. Хотя точный способ распространения неясен, предполагается, что основными векторами являются общие или клонированные проекты Xcode.

Ранее в этом году исследователи отметили улучшения, включая улучшенную обработку ошибок и реализацию трех методов сохранения, предназначенных для извлечения конфиденциальных данных из скомпрометированных систем.

Новые и обновленные модули

Последняя версия содержит несколько новых или модифицированных модулей, каждый из которых выполняет определенные вредоносные функции:

vexyeqj (ранее seizecj)

• Загружает модуль с именем bnk с помощью osascript.
• Обеспечивает проверку данных, шифрование/дешифрование, связь с C2 и ведение журнала.
• Включает возможности перехвата буфера обмена.

neq_cdyd_ilvcmwx

• Переносит файлы на сервер C2, аналогично старому модулю txzx_vostfdi.

xmyyeqjx

• Устанавливает персистентность на основе LaunchDaemon.

Джей

• Реализует персистентность на основе Git.

iewmilh_cdyd

• Похищает данные браузера Firefox с помощью модифицированного инструмента HackBrowserData.

Дополнительные обновления включают проверки приложения для обмена сообщениями Telegram и изменения логики в различных модулях.

Меры по смягчению последствий и обеспечению безопасности

Чтобы снизить риск, связанный с XCSSET, пользователям macOS следует:

• Поддерживайте свои системы и программное обеспечение в актуальном состоянии.
• Внимательно проверяйте проекты Xcode, полученные из репозиториев или внешних источников.
• Будьте осторожны при копировании или вставке конфиденциальной информации, особенно адресов криптовалютных кошельков.

Этот структурированный формат освещает эволюцию вредоносного ПО, технические подробности и практические советы по устранению последствий, сохраняя при этом всю важную информацию нетронутой.