Škodlivý softvér XCSSET pre macOS

Výskumníci v oblasti kybernetickej bezpečnosti identifikovali nový, sofistikovanejší variant malvéru XCSSET zameraný na systém Apple macOS. Hoci sa v súčasnosti pozoruje pri obmedzených útokoch, táto aktualizovaná verzia vykazuje významné vylepšenia v oblasti utajenia, perzistencie a exfiltrácie údajov.

Čím sa táto varianta líši?

Najnovšia verzia XCSSET prináša niekoľko kľúčových zmien:

Zacielenie na prehliadač a schránku : Teraz monitoruje obsah schránky a hľadá adresy kryptomenových peňaženiek a nahrádza ich adresami ovládanými útočníkom, aby mohol uniesť transakcie.

Rozšírená krádež údajov : Okrem prehliadača Safari dokáže malvér teraz ukradnúť údaje aj z prehliadača Mozilla Firefox.

Nenápadnosť a perzistencia : Použitím skriptov AppleScripts a položiek LaunchDaemon, ktoré sú kompilované iba na spustenie, je stále ťažké odhaliť a udržiavať perzistenciu na infikovaných systémoch.

Vylepšený infekčný reťazec : Zmeny v štvrtej fáze útoku zahŕňajú načítanie záverečného skriptu AppleScript zodpovedného za zhromažďovanie systémových informácií a vykonávanie modulov prostredníctvom funkcie boot().

Ako XCSSET infikuje systém macOS

XCSSET sa primárne zameriava na projekty Xcode používané vývojármi softvéru. Po zostavení týchto projektov malvér aktivuje a spúšťa svoje škodlivé moduly. Hoci presná metóda distribúcie nie je jasná, existuje podozrenie, že hlavným vektorom sú zdieľané alebo klonované projekty Xcode.

Začiatkom tohto roka výskumníci zaznamenali vylepšenia vrátane lepšieho spracovania chýb a implementácie troch techník perzistencie určených na odčerpávanie citlivých údajov z napadnutých systémov.

Nové a aktualizované moduly

Najnovší variant obsahuje niekoľko nových alebo upravených modulov, z ktorých každý vykonáva špecifické škodlivé funkcie:

vexyeqj (predtým seisecj)

• Stiahne modul s názvom bnk pomocou osascriptu.
• Zaoberá sa overovaním údajov, šifrovaním/dešifrovaním, komunikáciou C2 a protokolovaním.
• Zahŕňa funkcie únosu schránky.

neq_cdyd_ilvcmwx

• Presunie súbory na server C2, podobne ako starší modul txzx_vostfdi.

xmyyeqjx

• Nadväzuje na perzistenciu založenú na LaunchDaemon.

jey

• Implementuje perzistenciu založenú na Gite.

iewmilh_cdyd

• Kradne údaje prehliadača Firefox pomocou upraveného nástroja HackBrowserData.

Medzi ďalšie aktualizácie patria kontroly aplikácie na odosielanie správ Telegram a úpravy logiky v rôznych moduloch.

Zmierňujúce a bezpečnostné opatrenia

Aby sa znížilo riziko, ktoré predstavuje XCSSET, používatelia systému macOS by mali:

• Udržiavať ich systémy a softvér plne aktualizované.
• Starostlivo skontrolujte projekty Xcode získané z repozitárov alebo externých zdrojov.
• Pri kopírovaní alebo vkladaní citlivých informácií, najmä adries kryptomenových peňaženiek, buďte opatrní.

Tento štruktúrovaný formát zdôrazňuje vývoj škodlivého softvéru, technické detaily a praktické rady o jeho zmiernení, pričom zachováva všetky dôležité informácie nedotknuté.