Rabattoffert för flera licenser
Hotdatabas Mac Malware XCSSET macOS-skadlig programvara

XCSSET macOS-skadlig programvara

Med Mezo år Mac Malware
Översätt till:

Cybersäkerhetsforskare har identifierat en ny, mer sofistikerad variant av den skadliga programvaran XCSSET som riktar sig mot Apple macOS. Även om den för närvarande observeras i begränsade attacker, uppvisar den här uppdaterade versionen betydande förbättringar inom stealth, persistens och dataexfiltrering.

Vad gör den här varianten annorlunda?

Den senaste XCSSET-versionen introducerar flera viktiga förändringar:

Webbläsar- och urklippsinriktning : Den övervakar nu urklippsinnehåll för kryptovalutaplånboksadresser och ersätter dem med angriparkontrollerade adresser för att kapa transaktioner.

Utökad datastöld : Utöver Safari kan skadlig kod nu stjäla data från Mozilla Firefox.

Stealth och persistens : Med hjälp av körbara kompilerade AppleScripts och LaunchDaemon-poster är det fortfarande svårt att upptäcka och bibehålla persistens på infekterade system.

Förbättrad infektionskedja : Ändringar i attackens fjärde steg innebär att ett AppleScript i det sista steget hämtas, vilket ansvarar för insamling av systeminformation och modulkörning via en boot()-funktion.

Hur XCSSET infekterar macOS

XCSSET riktar sig främst mot Xcode-projekt som används av mjukvaruutvecklare. När dessa projekt byggs aktiverar och kör den skadliga programvaran sina skadliga moduler. Även om den exakta distributionsmetoden är oklar misstänks det att delade eller klonade Xcode-projekt är en viktig vektor.

Tidigare i år noterade forskare förbättringar, inklusive bättre felhantering och implementering av tre persistenstekniker utformade för att suga ut känslig data från komprometterade system.

Nya och uppdaterade moduler

Den senaste varianten har flera nya eller modifierade moduler, som var och en utför specifika skadliga funktioner:

vexyeqj (tidigare seizecj)

  • Laddar ner en modul med namnet bnk med hjälp av osascript.
  • Hanterar datavalidering, kryptering/dekryptering, C2-kommunikation och loggning.
  • Innehåller kapningsfunktioner för urklipp.

neq_cdyd_ilvcmwx

  • Exfiltrerar filer till C2-servern, liknande den äldre txzx_vostfdi-modulen.

xmyyeqjx

  • Etablerar LaunchDaemon-baserad persistens.

jey

  • Implementerar Git-baserad persistens.

iewmilh_cdyd

  • Stjäl Firefox-webbläsardata med ett modifierat HackBrowserData-verktyg.

Ytterligare uppdateringar inkluderar kontroller av Telegram-meddelandeappen och logiska modifieringar i olika moduler.

Mildrande åtgärder och säkerhetsåtgärder

För att minska risken med XCSSET bör macOS-användare:

  • Hålla sina system och programvara helt uppdaterade.
  • Granska noggrant Xcode-projekt som hämtats från arkiv eller externa källor.
  • Var försiktig när du kopierar eller klistrar in känslig information, särskilt adresser till kryptovalutaplånböcker.

Detta strukturerade format belyser den skadliga programvarans utveckling, tekniska detaljer och praktiska råd om begränsning, samtidigt som all viktig information hålls intakt.

Trendigt

Mest sedda

Läser in...