XCSSET macOS Malware

Natukoy ng mga mananaliksik sa cybersecurity ang isang bago, mas sopistikadong variant ng XCSSET malware na nagta-target sa Apple macOS. Bagama't kasalukuyang sinusunod sa mga limitadong pag-atake, ang na-update na bersyong ito ay nagpapakita ng mga makabuluhang pagpapahusay sa stealth, pagtitiyaga, at pag-exfiltrate ng data.

Ano ang Naiiba sa Variant na Ito?

Ang pinakabagong bersyon ng XCSSET ay nagpapakilala ng ilang mahahalagang pagbabago:

Pag-target sa Browser at Clipboard : Sinusubaybayan na nito ngayon ang nilalaman ng clipboard para sa mga address ng cryptocurrency wallet, na pinapalitan ang mga ito ng mga address na kontrolado ng attacker upang ma-hijack ang mga transaksyon.

Pinalawak na Pagnanakaw ng Data : Higit pa sa Safari, ang malware ay maaari na ngayong mag-exfiltrate ng data mula sa Mozilla Firefox.

Stealth and Persistence : Gamit ang run-only compiled AppleScripts at LaunchDaemon entries, nananatiling mahirap na matukoy at mapanatili ang pagtitiyaga sa mga nahawaang system.

Pinahusay na Chain ng Infection : Ang mga pagbabago sa ika-apat na yugto ng pag-atake ay kinabibilangan ng pagkuha ng panghuling yugto ng AppleScript na responsable para sa pagkolekta ng impormasyon ng system at pagpapatupad ng module sa pamamagitan ng boot() function.

Paano Nai-infect ng XCSSET ang macOS

Pangunahing tina-target ng XCSSET ang mga proyekto ng Xcode na ginagamit ng mga developer ng software. Kapag ang mga proyektong ito ay binuo, ang malware ay nag-a-activate at nagpapatupad ng mga nakakahamak na module nito. Bagama't hindi malinaw ang eksaktong paraan ng pamamahagi, pinaghihinalaan na ang mga nakabahagi o naka-clone na proyekto ng Xcode ay isang pangunahing vector.

Mas maaga sa taong ito, napansin ng mga mananaliksik ang mga pagpapahusay kabilang ang mas mahusay na paghawak ng error at ang pagpapatupad ng tatlong diskarte sa pagtitiyaga na idinisenyo upang siphon ang sensitibong data mula sa mga nakompromisong system.

Bago at Na-update na mga Module

Nagtatampok ang pinakabagong variant ng ilang bago o binagong mga module, bawat isa ay gumaganap ng mga partikular na nakakahamak na function:

vexyeqj (dating seizecj)

• Nagda-download ng module na pinangalanang bnk gamit ang osascript.
• Pinangangasiwaan ang validation ng data, encryption/decryption, C2 communication, at logging.
• Isinasama ang mga kakayahan sa pag-hijack ng clipboard.

neq_cdyd_ilvcmwx

• Nag-exfiltrate ng mga file sa C2 server, katulad ng mas lumang txzx_vostfdi module.

xmyyeqjx

• Nagtatatag ng LaunchDaemon-based na pagtitiyaga.

jey

• Nagpapatupad ng Git-based na pagtitiyaga.

iewmilh_cdyd

• Nagnanakaw ng data ng browser ng Firefox gamit ang isang binagong tool na HackBrowserData.

Kasama sa mga karagdagang update ang mga pagsusuri para sa Telegram messaging app at mga pagbabago sa logic sa iba't ibang module.

Mga Panukala sa Pagbabawas at Pangkaligtasan

Upang mabawasan ang panganib na dulot ng XCSSET, ang mga gumagamit ng macOS ay dapat na:

• Panatilihing ganap na na-update ang kanilang mga system at software.
• Maingat na siyasatin ang mga proyekto ng Xcode na nakuha mula sa mga repositoryo o panlabas na mapagkukunan.
• Maging maingat sa pagkopya o pag-paste ng sensitibong impormasyon, lalo na sa mga address ng wallet ng cryptocurrency.

Itinatampok ng structured na format na ito ang ebolusyon ng malware, mga teknikal na detalye, at praktikal na payo sa pagpapagaan habang pinapanatiling buo ang lahat ng mahahalagang impormasyon.