Zlonamerna programska oprema XCSSET za macOS

Raziskovalci kibernetske varnosti so odkrili novo, bolj sofisticirano različico zlonamerne programske opreme XCSSET, ki cilja na Apple macOS. Čeprav jo trenutno opažamo pri omejenih napadih, ta posodobljena različica kaže znatne izboljšave na področju prikritosti, vztrajnosti in izterjave podatkov.

Kaj naredi to varianto drugačno?

Najnovejša različica XCSSET uvaja več ključnih sprememb:

Ciljanje brskalnika in odpošilja : Zdaj spremlja vsebino odpošilja za naslove kriptovalutnih denarnic in jih nadomešča z naslovi, ki jih nadzoruje napadalec, za ugrabitev transakcij.

Razširjena kraja podatkov : Zlonamerna programska oprema lahko zdaj poleg Safarija ukrade podatke tudi iz Mozilla Firefoxa.

Prikritost in vztrajnost : Z uporabo AppleScriptov in vnosov LaunchDaemon, ki so prevedeni samo za zagon, je še vedno težko zaznati in ohraniti vztrajnost na okuženih sistemih.

Izboljšana veriga okužbe : Spremembe v četrti fazi napada vključujejo pridobivanje zadnje faze AppleScript, ki je odgovorna za zbiranje sistemskih informacij in izvajanje modulov prek funkcije boot().

Kako XCSSET okuži macOS

XCSSET cilja predvsem na projekte Xcode, ki jih uporabljajo razvijalci programske opreme. Ko so ti projekti zgrajeni, zlonamerna programska oprema aktivira in izvaja svoje zlonamerne module. Čeprav natančen način distribucije ni jasen, obstaja sum, da so glavni vektor širjenja deljeni ali klonirani projekti Xcode.

V začetku letošnjega leta so raziskovalci opazili izboljšave, vključno z boljšim obravnavanjem napak in uvedbo treh tehnik vztrajnosti, namenjenih črpanju občutljivih podatkov iz ogroženih sistemov.

Novi in posodobljeni moduli

Najnovejša različica vsebuje več novih ali spremenjenih modulov, od katerih vsak opravlja specifične zlonamerne funkcije:

vexyeqj (prej seisecj)

• Prenese modul z imenom bnk z uporabo osascripta.
• Ukvarja se z validacijo podatkov, šifriranjem/dešifriranjem, komunikacijo C2 in beleženjem.
• Vključuje zmožnosti ugrabitve odložišča.

neq_cdyd_ilvcmwx

• Prenese datoteke na strežnik C2, podobno kot starejši modul txzx_vostfdi.

xmyyeqjx

• Vzpostavi vztrajnost, ki temelji na LaunchDaemon.

jey

• Implementira vztrajnost na osnovi Gita.

iewmilh_cdyd

• Krade podatke brskalnika Firefox z uporabo spremenjenega orodja HackBrowserData.

Dodatne posodobitve vključujejo preverjanja aplikacije za sporočanje Telegram in logične spremembe v različnih modulih.

Blažilni in varnostni ukrepi

Za zmanjšanje tveganja, ki ga predstavlja XCSSET, bi morali uporabniki macOS:

• Poskrbite, da bodo njihovi sistemi in programska oprema v celoti posodobljeni.
• Previdno preglejte projekte Xcode, pridobljene iz repozitorijev ali zunanjih virov.
• Pri kopiranju ali lepljenju občutljivih podatkov, zlasti naslovov denarnic s kriptovalutami, bodite previdni.

Ta strukturirana oblika poudarja razvoj zlonamerne programske opreme, tehnične podrobnosti in praktične nasvete za ublažitev, hkrati pa ohranja vse bistvene informacije nedotaknjene.