XCSSET macOS 惡意軟體
網路安全研究人員發現了一種針對 Apple macOS 的 XCSSET 惡意軟體的全新、更複雜的變種。雖然目前觀察到的攻擊次數有限,但此更新版本在隱身性、持久性和資料外洩方面均有顯著增強。
目錄
這個變體有何不同?
最新的 XCSSET 版本引入了幾項關鍵變更:
瀏覽器和剪貼簿定位:它現在監控剪貼簿內容中的加密貨幣錢包位址,並將其替換為攻擊者控制的位址以劫持交易。
擴大資料竊取:除了 Safari,該惡意軟體現在還可以竊取 Mozilla Firefox 中的資料。
隱身和持久性:使用僅運行編譯的 AppleScripts 和 LaunchDaemon 條目,仍然很難檢測和維持受感染系統上的持久性。
改進的感染鏈:攻擊的第四階段的變化涉及獲取負責系統資訊收集和透過 boot() 函數執行模組的最後階段 AppleScript。
XCSSET 如何感染 macOS
XCSSET主要針對軟體開發人員使用的 Xcode 專案。當這些項目建置完成後,惡意軟體就會啟動並執行其惡意模組。雖然具體的傳播方式尚不清楚,但懷疑共享或克隆的 Xcode 專案是主要傳播媒介。
今年早些時候,研究人員注意到一些增強功能,包括更好的錯誤處理和實施三種旨在從受感染系統中竊取敏感資料的持久性技術。
新的和更新的模組
最新版本包含幾個新的或修改過的模組,每個模組都執行特定的惡意功能:
vexyeqj(以前稱為 seizecj)
- 使用 osascript 下載名為 bnk 的模組。
- 處理資料驗證、加密/解密、C2 通訊和日誌記錄。
- 包含剪貼簿劫持功能。
neq_cdyd_ilvcmwx
- 將檔案洩漏到 C2 伺服器,類似於舊的 txzx_vostfdi 模組。
xmyyeqjx
- 建立基於 LaunchDaemon 的持久性。
傑伊
- 實現基於 Git 的持久化。
iewmilh_cdyd
- 使用修改後的 HackBrowserData 工具竊取 Firefox 瀏覽器資料。
其他更新包括對 Telegram 訊息應用程式的檢查以及跨各個模組的邏輯修改。
緩解和安全措施
為了降低 XCSSET 帶來的風險,macOS 使用者應該:
- 保持他們的系統和軟體完全更新。
- 仔細檢查從儲存庫或外部來源取得的 Xcode 專案。
- 複製或貼上敏感資訊時要小心,尤其是加密貨幣錢包地址。
這種結構化格式突顯了惡意軟體的演進、技術細節和實用的緩解建議,同時保留了所有必要的資訊。
