XCSSET Mac 惡意軟件發生新變種，針對在 Apple M1 芯片進行編譯

卡巴斯基的研究人員發現了XCSSET Mac惡意軟件的新變種，該變種針對運行在Apple M1芯片上的設備進行了編譯。

XCSSET是由趨勢科技于2020年8月發現的Mac惡意軟件，它正在Xcode項目中傳播，并利用兩個零日漏洞來從目標系統竊取敏感信息并發起勒索軟件攻擊。

根據趨勢科技的說法，該威脅允許竊取與流行應用程序（包括Evernote，Skype，Notes，QQ，微信和電報）相關的數據。該惡意軟件還允許攻擊者捕獲屏幕截圖并將被盜的文檔泄露到攻擊者的服務器。該惡意軟件還實施勒索軟件行為，能夠加密文件并顯示勒索記錄。

該惡意軟件還能夠發起通用跨站點腳本（UXSS）攻擊，從而在訪問特定網站并改變用戶的瀏覽器體驗時將JavaScript代碼注入瀏覽器。此行為允許惡意代碼替換加密貨幣地址，并從Apple Store竊取在線服務（amoCRM，Apple ID，Google，Paypal，SIPMarket和Yandex）的憑據以及付款卡信息。

趨勢科技發現了兩個注入XCSSET Mac Malware的Xcode項目，一個在7月13日，一個在7月31日。

對C＆C服務器的分析顯示了380個受害IP地址的列表，其中大多數位于中國（152個）和印度（103個）。然而，本周卡巴斯基發現了針對M1芯片的XCSSET的新變種。

“在探索XCSSET的各種可執行模塊時，我們發現其中一些還包含專門為新的Apple Silicon芯片編譯的示例。例如，帶有MD5哈希總和914e49921c19fffd7443deee6ee161a4的示例包含兩個體系結構：x86_64和ARM64。” 指出卡巴斯基發表的報告。

“第一個對應于上一代基于Intel的Mac計算機，但是第二個針對ARM64架構進行了編譯，這意味著它可以在裝有新Apple M1芯片的計算機上運行。”

卡巴斯基分析的樣本已于2021-02-24 21:06:05上傳到VirusTotal，與趨勢科技分析的樣本不同，此變體包含上面的哈希或名為“ metald”的模塊，即可執行文件的名稱。

專家認為，XCSSET戰役可能仍在進行中，多個惡意軟件作者正在重新編譯Mac惡意軟件，使其可以在新的Apple Macs M1芯片上運行。

最近，專家發現了專門設計用于感染運行在M1芯片上的Mac的其他惡意軟件。

一月份，廣受歡迎的安全研究人員Patrick Wardle發現了針對M1芯片的首批惡意軟件之一，它是專門為新一代Apple芯片編譯的Pirrit廣告軟件的一種變體。

2月，Red Canary的惡意軟件研究人員發現了另一種名為Silver Sparrow的惡意軟件，該惡意軟件正在使用世界各地最新的Apple M1芯片感染Mac系統。

根據Malwarebytes共享的數據，截至2月17日，Silver Sparrow已經感染了153個國家/地區的29,139個macOS端點。大多數感染是在加拿大，法國，德國，英國和美國觀察到的。

在撰寫本文時，尚不清楚Silver Sparrow廣告軟件背后的威脅行為者打算在受害機器上部署的最終有效載荷是什么。專家認為，這種惡意軟件是高級和復雜對手的產物。

Wardle指出，威脅行動者正集中力量開發針對使用新Apple芯片的設備的威脅，Wardle指出，（靜態）分析工具或防病毒引擎在分析ARM64二進制文件時會遇到困難，這通過以下事實得以證明：與Intel x86_64版本相比，惡意軟件的惡意軟件攻擊性更低。

“有了新的M1芯片，蘋果公司當然已經提高了Mac計算機的性能和節能極限，但是惡意軟件開發人員一直關注這些創新，并通過將代碼移植到ARM64架構上，迅速將其可執行文件調整為適用于Apple Silicon的產品。” 卡巴斯基總結。

“我們已經觀察到了各種嘗試，不僅在典型的廣告軟件（例如Pirrit或Bnodlero示例）之間移植了可執行文件，而且還在惡意軟件包（例如Silver Sparrow威脅和XCSSET可下載的惡意模塊）之間移植了可執行文件。這無疑將為其他惡意軟件對手提供一個開端，以開始調整其代碼以在Apple M1芯片上運行。”