Шкідливе програмне забезпечення для macOS XCSSET
Дослідники з кібербезпеки виявили новий, більш складний варіант шкідливого програмного забезпечення XCSSET, спрямованого на Apple macOS. Хоча наразі спостерігається в обмежених атаках, ця оновлена версія демонструє значні покращення в прихованості, стійкості та витоку даних.
Зміст
Чим відрізняється цей варіант?
В останній версії XCSSET представлено кілька ключових змін:
Таргетування браузера та буфера обміну : тепер він відстежує вміст буфера обміну на наявність адрес криптовалютних гаманців, замінюючи їх адресами, контрольованими зловмисником, для перехоплення транзакцій.
Розширена крадіжка даних : Окрім Safari, шкідливе програмне забезпечення тепер може викрадати дані з Mozilla Firefox.
Прихованість та збереження : Використовуючи скомпільовані лише для запуску скрипти AppleScripts та записи LaunchDaemon, залишається складним виявити та підтримувати збереження на заражених системах.
Покращений ланцюг зараження : Зміни до четвертого етапу атаки включають отримання AppleScript останнього етапу, відповідального за збір системної інформації та виконання модуля, через функцію boot().
Як XCSSET заражає macOS
XCSSET в першу чергу націлений на проекти Xcode, що використовуються розробниками програмного забезпечення. Під час створення цих проектів шкідливе програмне забезпечення активує та виконує свої шкідливі модулі. Хоча точний метод поширення незрозумілий, є підозра, що основним вектором є спільні або клоновані проекти Xcode.
Раніше цього року дослідники відзначили покращення, зокрема покращену обробку помилок та впровадження трьох методів збереження даних, розроблених для вилучення конфіденційних даних зі скомпрометованих систем.
Нові та оновлені модулі
Найновіший варіант містить кілька нових або модифікованих модулів, кожен з яких виконує певні шкідливі функції:
vexyeqj (раніше seisecj)
- Завантажує модуль з назвою bnk за допомогою osascript.
- Обробляє перевірку даних, шифрування/дешифрування, зв'язок C2 та ведення журналу.
- Включає можливості вилучення буфера обміну.
neq_cdyd_ilvcmwx
- Виводить файли на сервер C2, подібно до старішого модуля txzx_vostfdi.
xmyyeqjx
- Встановлює персистенцію на основі LaunchDaemon.
джей
- Реалізує персистенцію на основі Git.
Стежити
- Викрадає дані браузера Firefox за допомогою модифікованого інструменту HackBrowserData.
Додаткові оновлення включають перевірки месенджера Telegram та зміни логіки в різних модулях.
Заходи пом’якшення наслідків та безпеки
Щоб зменшити ризик, який створює XCSSET, користувачам macOS слід:
- Повністю оновлювати свої системи та програмне забезпечення.
- Уважно перевірте проекти Xcode, отримані з репозиторіїв або зовнішніх джерел.
- Будьте обережні під час копіювання або вставки конфіденційної інформації, особливо адрес криптовалютних гаманців.
Цей структурований формат висвітлює еволюцію шкідливого програмного забезпечення, технічні деталі та практичні поради щодо його усунення, зберігаючи при цьому всю важливу інформацію недоторканою.
