XCSSET macOS 恶意软件
网络安全研究人员发现了一种针对 Apple macOS 的 XCSSET 恶意软件的全新、更复杂的变种。虽然目前观察到的攻击次数有限,但此更新版本在隐身性、持久性和数据泄露方面均有显著增强。
目录
这个变体有何不同?
最新的 XCSSET 版本引入了几项关键变化:
浏览器和剪贴板定位:它现在监控剪贴板内容中的加密货币钱包地址,并将其替换为攻击者控制的地址以劫持交易。
扩大数据盗窃:除了 Safari,该恶意软件现在还可以窃取 Mozilla Firefox 中的数据。
隐身和持久性:使用仅运行编译的 AppleScripts 和 LaunchDaemon 条目,仍然很难检测和维持受感染系统上的持久性。
改进的感染链:攻击的第四阶段的变化涉及获取负责系统信息收集和通过 boot() 函数执行模块的最后阶段 AppleScript。
XCSSET 如何感染 macOS
XCSSET主要针对软件开发人员使用的 Xcode 项目。当这些项目构建完成后,恶意软件就会激活并执行其恶意模块。虽然具体的传播方式尚不清楚,但怀疑共享或克隆的 Xcode 项目是主要传播媒介。
今年早些时候,研究人员注意到一些增强功能,包括更好的错误处理和实施三种旨在从受感染系统中窃取敏感数据的持久性技术。
新的和更新的模块
最新版本包含几个新的或修改过的模块,每个模块都执行特定的恶意功能:
vexyeqj(以前称为 seizecj)
- 使用 osascript 下载名为 bnk 的模块。
- 处理数据验证、加密/解密、C2 通信和日志记录。
- 包含剪贴板劫持功能。
neq_cdyd_ilvcmwx
- 将文件泄露到 C2 服务器,类似于旧的 txzx_vostfdi 模块。
xmyyeqjx
- 建立基于 LaunchDaemon 的持久性。
杰伊
- 实现基于 Git 的持久化。
iewmilh_cdyd
- 使用修改后的 HackBrowserData 工具窃取 Firefox 浏览器数据。
其他更新包括对 Telegram 消息应用程序的检查以及跨各个模块的逻辑修改。
缓解和安全措施
为了降低 XCSSET 带来的风险,macOS 用户应该:
- 保持他们的系统和软件完全更新。
- 仔细检查从存储库或外部来源获得的 Xcode 项目。
- 复制或粘贴敏感信息时要小心,尤其是加密货币钱包地址。
这种结构化格式突出了恶意软件的演变、技术细节和实用的缓解建议,同时保留了所有必要的信息。
