Команда Microsoft Threat Intelligence обнаружила новую, обновленную версию вредоносного ПО XCSSET для Apple macOS, используемую в ограниченных по масштабу атаках. Этот вариант демонстрирует значительные улучшения, в частности, он нацелен на кражу данных из браузера Mozilla Firefox и реализует функцию «клиппера» для перехвата криптовалютных транзакций путем изменения содержимого буфера обмена.
Основным вектором заражения для XCSSET остаются проекты Xcode, используемые разработчиками программного обеспечения. Вредоносный код активируется в момент сборки зараженного проекта. Предполагается, что распространение происходит через обмен файлами таких проектов между разработчиками, хотя точный механизм остается неясным.
Наиболее значимым нововведением является функция «клиппер», реализованная в виде отдельного подмодуля. Он активно отслеживает содержимое системного буфера обмена. Используя регулярные выражения (regex), модуль обнаруживает строки, соответствующие форматам адресов криптовалютных кошельков. При обнаружении совпадения он мгновенно заменяет адрес кошелька пользователя в буфере обмена на адрес, контролируемый злоумышленником, с целью перенаправления и кражи средств.
В новой версии вредоносное ПО расширило свои цели, добавив в список браузер Mozilla Firefox. Для извлечения данных из него используется модифицированная версия общедоступного инструмента под названием HackBrowserData. Это позволяет злоумышленникам получать доступ к конфиденциальной информации, хранящейся в браузере.
Для обеспечения своего выживания в системе вирус использует новый механизм персистентности. Он создает записи LaunchDaemon, что гарантирует автоматический запуск вредоносного ПО при каждой загрузке операционной системы и позволяет ему постоянно присутствовать на зараженном устройстве.
Технически новая итерация XCSSET применяет сложные методы шифрования и обфускации, а также использует скомпилированные AppleScripts в режиме «только для запуска» для скрытного выполнения. Изменения были внесены в четвертую стадию цепочки заражения, которая теперь включает дополнительные проверки для обнаружения браузера Firefox и измененную логику для определения наличия мессенджера Telegram.
Вредоносное ПО использует несколько обновленных и новых модулей. Модуль
Согласно отчету Microsoft, опубликованному в четверг, данное обновление демонстрирует активное развитие XCSSET. Ранее, в начале этого марта, та же команда исследователей уже обнаруживала другие улучшения в этом вредоносном ПО, включая улучшенную обработку ошибок и использование трех различных техник персистентности.
Для защиты от угрозы, исходящей от XCSSET, рекомендуется регулярно обновлять macOS и все установленное программное обеспечение до последних версий. Следует тщательно проверять любые проекты Xcode, загруженные или клонированные из репозиториев и других внешних источников. Также необходимо проявлять особую осторожность при копировании и вставке конфиденциальной информации, такой как адреса криптовалютных кошельков, и всегда перепроверять их перед завершением транзакции.
Изображение носит иллюстративный характер
Основным вектором заражения для XCSSET остаются проекты Xcode, используемые разработчиками программного обеспечения. Вредоносный код активируется в момент сборки зараженного проекта. Предполагается, что распространение происходит через обмен файлами таких проектов между разработчиками, хотя точный механизм остается неясным.
Наиболее значимым нововведением является функция «клиппер», реализованная в виде отдельного подмодуля. Он активно отслеживает содержимое системного буфера обмена. Используя регулярные выражения (regex), модуль обнаруживает строки, соответствующие форматам адресов криптовалютных кошельков. При обнаружении совпадения он мгновенно заменяет адрес кошелька пользователя в буфере обмена на адрес, контролируемый злоумышленником, с целью перенаправления и кражи средств.
В новой версии вредоносное ПО расширило свои цели, добавив в список браузер Mozilla Firefox. Для извлечения данных из него используется модифицированная версия общедоступного инструмента под названием HackBrowserData. Это позволяет злоумышленникам получать доступ к конфиденциальной информации, хранящейся в браузере.
Для обеспечения своего выживания в системе вирус использует новый механизм персистентности. Он создает записи LaunchDaemon, что гарантирует автоматический запуск вредоносного ПО при каждой загрузке операционной системы и позволяет ему постоянно присутствовать на зараженном устройстве.
Технически новая итерация XCSSET применяет сложные методы шифрования и обфускации, а также использует скомпилированные AppleScripts в режиме «только для запуска» для скрытного выполнения. Изменения были внесены в четвертую стадию цепочки заражения, которая теперь включает дополнительные проверки для обнаружения браузера Firefox и измененную логику для определения наличия мессенджера Telegram.
Вредоносное ПО использует несколько обновленных и новых модулей. Модуль
vexyeqj (ранее seizecj) загружает компонент bnk, содержащий логику клиппера. neq_cdyd_ilvcmwx (аналогичен txzx_vostfdi) отвечает за выгрузку файлов на командный сервер (C2). Модули xmyyeqjx и jey обеспечивают персистентность через LaunchDaemon и Git соответственно. За кражу данных из Firefox отвечает модуль iewmilh_cdyd, использующий HackBrowserData. Согласно отчету Microsoft, опубликованному в четверг, данное обновление демонстрирует активное развитие XCSSET. Ранее, в начале этого марта, та же команда исследователей уже обнаруживала другие улучшения в этом вредоносном ПО, включая улучшенную обработку ошибок и использование трех различных техник персистентности.
Для защиты от угрозы, исходящей от XCSSET, рекомендуется регулярно обновлять macOS и все установленное программное обеспечение до последних версий. Следует тщательно проверять любые проекты Xcode, загруженные или клонированные из репозиториев и других внешних источников. Также необходимо проявлять особую осторожность при копировании и вставке конфиденциальной информации, такой как адреса криптовалютных кошельков, и всегда перепроверять их перед завершением транзакции.
