Phần mềm độc hại XCSSET macOS

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một biến thể mới, tinh vi hơn của mã độc XCSSET nhắm vào Apple macOS. Mặc dù hiện tại chỉ được phát hiện trong một số cuộc tấn công hạn chế, phiên bản cập nhật này cho thấy những cải tiến đáng kể về khả năng ẩn núp, duy trì hoạt động và đánh cắp dữ liệu.

Điều gì làm cho biến thể này khác biệt?

Phiên bản XCSSET mới nhất giới thiệu một số thay đổi quan trọng:

Nhắm mục tiêu vào trình duyệt và bảng tạm : Hiện tại, nó theo dõi nội dung bảng tạm để tìm địa chỉ ví tiền điện tử, thay thế chúng bằng địa chỉ do kẻ tấn công kiểm soát để chiếm đoạt giao dịch.

Mở rộng phạm vi đánh cắp dữ liệu : Ngoài Safari, phần mềm độc hại hiện có thể đánh cắp dữ liệu từ Mozilla Firefox.

Tàng hình và bền bỉ : Sử dụng các mục AppleScripts và LaunchDaemon được biên dịch chỉ chạy, vẫn khó phát hiện và duy trì tính bền bỉ trên các hệ thống bị nhiễm.

Chuỗi lây nhiễm được cải thiện : Những thay đổi ở giai đoạn thứ tư của cuộc tấn công liên quan đến việc truy xuất AppleScript ở giai đoạn cuối chịu trách nhiệm thu thập thông tin hệ thống và thực thi mô-đun thông qua hàm boot().

XCSSET lây nhiễm macOS như thế nào

XCSSET chủ yếu nhắm vào các dự án Xcode được các nhà phát triển phần mềm sử dụng. Khi các dự án này được xây dựng, phần mềm độc hại sẽ kích hoạt và thực thi các mô-đun độc hại của nó. Mặc dù phương thức phát tán chính xác vẫn chưa rõ ràng, nhưng người ta nghi ngờ rằng các dự án Xcode được chia sẻ hoặc sao chép là một phương thức lây lan chính.

Đầu năm nay, các nhà nghiên cứu đã lưu ý những cải tiến bao gồm xử lý lỗi tốt hơn và triển khai ba kỹ thuật duy trì được thiết kế để thu thập dữ liệu nhạy cảm từ các hệ thống bị xâm phạm.

Các mô-đun mới và được cập nhật

Biến thể mới nhất có một số mô-đun mới hoặc đã được sửa đổi, mỗi mô-đun thực hiện các chức năng độc hại cụ thể:

vexyeqj (trước đây là seizecj)

• Tải xuống mô-đun có tên bnk bằng osascript.
• Xử lý xác thực dữ liệu, mã hóa/giải mã, giao tiếp C2 và ghi nhật ký.
• Kết hợp khả năng chiếm dụng clipboard.

neq_cdyd_ilvcmwx

• Trích xuất các tập tin vào máy chủ C2, tương tự như mô-đun txzx_vostfdi cũ hơn.

xmyyeqjx

• Thiết lập tính bền vững dựa trên LaunchDaemon.

jey

• Triển khai tính năng lưu trữ dựa trên Git.

iewmilh_cdyd

• Đánh cắp dữ liệu trình duyệt Firefox bằng công cụ HackBrowserData đã được sửa đổi.

Các bản cập nhật bổ sung bao gồm kiểm tra ứng dụng nhắn tin Telegram và sửa đổi logic trên nhiều mô-đun khác nhau.

Các biện pháp giảm thiểu và an toàn

Để giảm thiểu rủi ro do XCSSET gây ra, người dùng macOS nên:

• Luôn cập nhật đầy đủ hệ thống và phần mềm.
• Kiểm tra cẩn thận các dự án Xcode lấy từ kho lưu trữ hoặc nguồn bên ngoài.
• Hãy thận trọng khi sao chép hoặc dán thông tin nhạy cảm, đặc biệt là địa chỉ ví tiền điện tử.

Định dạng có cấu trúc này làm nổi bật quá trình phát triển của phần mềm độc hại, các chi tiết kỹ thuật và lời khuyên giảm thiểu thực tế trong khi vẫn giữ nguyên mọi thông tin cần thiết.