XCSSET Злонамерни софтвер за macOS
Истраживачи сајбер безбедности идентификовали су нову, софистициранију варијанту злонамерног софтвера XCSSET која циља на Apple macOS. Иако се тренутно примећује у ограниченим нападима, ова ажурирана верзија показује значајна побољшања у прикривености, истрајности и крађи података.
Преглед садржаја
Шта чини ову варијанту другачијом?
Најновија верзија XCSSET-а уводи неколико кључних промена:
Циљање прегледача и међуспремника : Сада прати садржај међуспремника за адресе криптовалутних новчаника, замењујући их адресама које контролишу нападачи како би отео трансакције.
Проширена крађа података : Поред Сафарија, злонамерни софтвер сада може да краде податке и из Мозила Фајерфокса.
Прикривеност и истрајност : Коришћењем компајлираних AppleScripts-ова и LaunchDaemon уноса који се могу само извршавати, и даље је тешко открити и одржати истрајност на зараженим системима.
Побољшан ланац инфекције : Промене у четвртој фази напада укључују преузимање AppleScript-а у последњој фази, одговорног за прикупљање системских информација и извршавање модула, путем функције boot().
Како XCSSET инфицира macOS
XCSSET првенствено циља Xcode пројекте које користе програмери софтвера. Када се ови пројекти изграде, злонамерни софтвер активира и извршава своје злонамерне модуле. Иако тачан метод дистрибуције није јасан, сумња се да су дељени или клонирани Xcode пројекти главни вектор.
Раније ове године, истраживачи су приметили побољшања, укључујући боље руковање грешкама и имплементацију три технике перзистентности дизајниране за преузимање осетљивих података из угрожених система.
Нови и ажурирани модули
Најновија варијанта садржи неколико нових или модификованих модула, од којих сваки обавља специфичне злонамерне функције:
vexyeqj (раније seisecj)
- Преузима модул под називом bnk користећи osascript.
- Бави се валидацијом података, шифровањем/дешифровањем, C2 комуникацијом и евидентирањем.
- Укључује могућности отмице међуспремника.
нек_цдид_илвцмвкс
- Преноси датотеке на C2 сервер, слично старијем txzx_vostfdi модулу.
xmyyeqjx
- Успоставља перзистентност засновану на LaunchDaemon-у.
џеј
- Имплементира перзистентност засновану на Гиту.
иевмилх_цдид
- Краде податке прегледача Фајерфокс користећи модификовани алат HackBrowserData.
Додатна ажурирања укључују провере апликације за размену порука Телеграм и логичке измене у различитим модулима.
Мере ублажавања и безбедности
Да би смањили ризик који представља XCSSET, корисници macOS-а би требало:
- Одржавајте своје системе и софтвер потпуно ажурираним.
- Пажљиво прегледајте Xcode пројекте добијене из репозиторијума или екстерних извора.
- Будите опрезни при копирању или лепљењу осетљивих информација, посебно адреса криптовалутних новчаника.
Овај структурирани формат истиче еволуцију злонамерног софтвера, техничке детаље и практичне савете за ублажавање, уз очување свих битних информација.
