Обнаружена новая версия модульной малвари XCSSET для macOS. Вредонос похищает конфиденциальную информацию пользователей, включая данные цифровых кошельков и информацию из приложения Notes. Разработчикам рекомендуют сохранять бдительность, поскольку основным вектором заражения являются Xcode-проекты.

Специалисты Microsoft Threat Intelligence напоминают, что XCSSET активна уже около пяти лет, и текущее обновление является первым с 2022 года. Хотя возможности малвари в целом остаются прежними, новая версия отличается улучшенной обфускацией кода, использует новые техники для установления устойчивости и демонстрирует новые стратегии заражения.

Среди ключевых изменений исследователи перечислили:

  • новую обфускацию с помощью методов, использующих не только Base64, но и xxd (hexdump), которые различаются по количеству итераций. Отмечается, что имена модулей в коде тоже обфусцированы, что дополнительно затрудняет анализ;
  • две техники для установления устойчивости (zshrc и dock);
  • новые методы заражения: малварь использует опции TARGET, RULE или FORCED_STRATEGY для размещения полезной нагрузки в Xcode-проектах. Также вредонос способен внедрять полезную нагрузку в ключ TARGET_DEVICE_FAMILY и запускать на более позднем этапе.

В случае использования метода zshrc новая версия XCSSET создает файл ~/.zshrc_aliases, содержащий полезную нагрузку, и добавляет команду в файл ~/.zshrc. Таким образом, созданный файл запускается при запуске нового шелл-сеанса.

При использовании метода dock с управляющего сервера злоумышленников загружается подписанный инструмент dockutil. Затем XCSSET создает вредоносное приложение Launchpad с полезной нагрузкой и изменяет путь легитимного приложения таким образом, чтобы он указывал на фальшивку. В результате при запуске Launchpad в dock выполняется не только настоящее приложение, но и вредоносная полезная нагрузка.

Эксперты отмечают, что XCSSET по-прежнему имеет множество модулей для парсинга данных в системе, сбора конфиденциальной информации и ее кражи. Так, малварь интересуют логины, информация из чат-приложений и браузеров, приложения Notes, данные цифровых кошельков, системная информация и файлы.

Microsoft рекомендует внимательно проверять любые проекты Xcode, клонированные из неофициальных репозиториев, поскольку те могут скрывать обфусцированную малварь и бэкдоры.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • 1 комментарий
    Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии