Výzkumníci upozornili na aktualizovanou verzi malwaru XCSSET pro macOS, která se objevila v omezených útocích a rozšiřuje možnosti odtahu dat a udržení přístupu na kompromitovaných strojích. Nová edice mění způsob cílení na prohlížeče, přidává schopnosti pro zachytávání a manipulaci se schránkou a zavádí další mechanismus perzistence prostřednictvím položek LaunchDaemon.
XCSSET je modulární malware, který infikuje projekty Xcode a aktivuje škodlivé funkce při kompilaci. Způsob šíření není plně objasněn; experti předpokládají, že dochází k šíření s použitím sdílených projektových souborů mezi vývojáři. V březnu Microsoft zaznamenal v rámci předchozích verzí vylepšení v oblasti zpracování chyb a více perzistentních technik pro exfiltraci citlivých dat.
Klíčovou novinkou je integrace podmodulu clipper, který monitoruje obsah schránky a při zjištění vzorů odpovídajících kryptopeněženkám nahrazuje adresu vkládanou uživatelem adresou útočníka, čímž přesměrovává platby. Dále byla rozšířena podpora pro cílení na prohlížeč Mozilla Firefox a upravena logika detekce aplikace Telegram.
Nová varianta mění i čtvrtou fázi infekčního řetězce: AppleScriptová komponenta nyní spouští shellový příkaz pro stažení závěrečného AppleScriptu, který sbírá systémové informace a volá funkci boot() k aktivaci dalších podmodulů. Součástí aktualizace jsou také změny ve stávajících modulech a přidání nových modulů určených pro exfiltraci, perzistenci a manipulaci se schránkou.
Mezi označenými moduly jsou například informační modul (dříve s jiným názvem), který stahuje a spouští další komponenty včetně clipperu a funkcí pro šifrování či komunikaci s řídicím serverem; modul pro exfiltraci souborů na C2 server; modul pro nastavení perzistence přes LaunchDaemon; modul pro perzistenci přes Git; a modul určený ke krádeži dat z Firefoxu, založený na upravené verzi nástroje pro extrakci dat z prohlížečů.
Jako základní protiopatření se doporučuje udržovat macOS a vývojářské nástroje aktuální, pečlivě kontrolovat stažené nebo naklonované projekty Xcode a při práci s citlivými údaji věnovat pozornost tomu, co je kopírováno do schránky. „Co na této variantě vyniká, je její schopnost zachytit a manipulovat s obsahem schránky souvisejícím s digitálními peněženkami,“ uvedl zástupce Microsoftu, čímž upozornil na přímé riziko pro uživatele kryptoměnových peněženek.
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS
