มัลแวร์ XCSSET macOS

นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบมัลแวร์ XCSSET สายพันธุ์ใหม่ที่มีความซับซ้อนมากขึ้น ซึ่งมุ่งเป้าไปที่ Apple macOS แม้ว่าจะพบการโจมตีในวงจำกัด แต่เวอร์ชันที่อัปเดตนี้แสดงให้เห็นถึงการพัฒนาที่สำคัญในด้านการซ่อนตัว การคงอยู่ และการขโมยข้อมูล

อะไรที่ทำให้รุ่นนี้แตกต่าง?

XCSSET เวอร์ชันล่าสุดนำเสนอการเปลี่ยนแปลงสำคัญหลายประการ:

การกำหนดเป้าหมายเบราว์เซอร์และคลิปบอร์ด : ขณะนี้จะตรวจสอบเนื้อหาคลิปบอร์ดสำหรับที่อยู่กระเป๋าเงินสกุลเงินดิจิทัล โดยแทนที่ด้วยที่อยู่ที่ควบคุมโดยผู้โจมตีเพื่อแฮ็กธุรกรรม

การโจรกรรมข้อมูลที่ขยายตัว : นอกเหนือจาก Safari แล้ว มัลแวร์ยังสามารถขโมยข้อมูลจาก Mozilla Firefox ได้อีกด้วย

การซ่อนตัวและการคงอยู่ : การใช้ AppleScripts ที่คอมไพล์แบบรันอย่างเดียวและรายการ LaunchDaemon ทำให้การตรวจจับและรักษาการคงอยู่บนระบบที่ติดไวรัสเป็นเรื่องยาก

ปรับปรุงห่วงโซ่การติดเชื้อ : การเปลี่ยนแปลงในระยะที่สี่ของการโจมตีเกี่ยวข้องกับการดึง AppleScript ระยะสุดท้ายที่รับผิดชอบในการรวบรวมข้อมูลระบบและการดำเนินการโมดูลผ่านฟังก์ชัน boot()

XCSSET ติดเชื้อ macOS ได้อย่างไร

XCSSET มุ่งเป้าไปที่โปรเจกต์ Xcode ที่นักพัฒนาซอฟต์แวร์ใช้งานเป็นหลัก เมื่อโปรเจกต์เหล่านี้ถูกสร้างขึ้น มัลแวร์จะเปิดใช้งานและรันโมดูลที่เป็นอันตราย แม้ว่าวิธีการกระจายที่แน่ชัดยังไม่ชัดเจน แต่คาดว่าโปรเจกต์ Xcode ที่ถูกแชร์หรือโคลนอาจเป็นพาหะสำคัญ

เมื่อต้นปีนี้ นักวิจัยได้สังเกตเห็นการปรับปรุงต่างๆ รวมถึงการจัดการข้อผิดพลาดที่ดีขึ้น และการนำเทคนิคการคงอยู่สามแบบมาใช้ ซึ่งออกแบบมาเพื่อดูดข้อมูลที่ละเอียดอ่อนจากระบบที่ถูกบุกรุก

โมดูลใหม่และอัปเดต

รุ่นล่าสุดมีโมดูลใหม่หรือที่แก้ไขหลายตัว โดยแต่ละตัวทำหน้าที่ที่เป็นอันตรายโดยเฉพาะ:

vexyeqj (เดิม seizecj)

• ดาวน์โหลดโมดูลชื่อ bnk โดยใช้ osascript
• จัดการการตรวจสอบข้อมูล การเข้ารหัส/ถอดรหัส การสื่อสาร C2 และการบันทึกข้อมูล
• รวมความสามารถในการแฮ็กคลิปบอร์ด

neq_cdyd_ilvcmwx

• ดึงไฟล์ออกไปยังเซิร์ฟเวอร์ C2 คล้ายกับโมดูล txzx_vostfdi รุ่นเก่า

xmyyeqjx

• สร้างการคงอยู่บนพื้นฐานของ LaunchDaemon

เจย์

• นำการคงอยู่บนพื้นฐานของ Git มาใช้

iewmilh_cdyd

• ขโมยข้อมูลเบราว์เซอร์ Firefox โดยใช้เครื่องมือ HackBrowserData ที่ได้รับการดัดแปลง

การอัปเดตเพิ่มเติมได้แก่ การตรวจสอบแอปการส่งข้อความ Telegram และการปรับเปลี่ยนตรรกะในโมดูลต่างๆ

มาตรการบรรเทาผลกระทบและความปลอดภัย

เพื่อลดความเสี่ยงที่เกิดจาก XCSSET ผู้ใช้ macOS ควรดำเนินการดังต่อไปนี้:

• คอยอัปเดตระบบและซอฟต์แวร์ของตนให้ทันสมัยอยู่เสมอ
• ตรวจสอบโครงการ Xcode ที่ได้รับจากที่เก็บข้อมูลหรือแหล่งภายนอกอย่างรอบคอบ
• ควรระมัดระวังในการคัดลอกหรือวางข้อมูลที่ละเอียดอ่อน โดยเฉพาะที่อยู่กระเป๋าเงินสกุลเงินดิจิทัล

รูปแบบที่มีโครงสร้างนี้เน้นถึงวิวัฒนาการของมัลแวร์ รายละเอียดทางเทคนิค และคำแนะนำในการบรรเทาผลกระทบในทางปฏิบัติ ในขณะที่ยังคงรักษาข้อมูลสำคัญทั้งหมดไว้ครบถ้วน