XCSSET 惡意軟件針對蘋果新推出的 M1 芯片
針對Xcode開發者的Mac惡意軟件XCSSET現在被重新設計,并用于針對蘋果新推出的M1芯片的宣傳活動中。
趨勢科技的專家發現了一個針對Xcode開發人員的Mac惡意軟件活動,該活動采用了XCSSET惡意軟件的重新設計版本來支持Apple的新M1芯片。新的變體還實現了針對竊取加密貨幣應用程序的數據竊取的新功能。
XCSSET是由趨勢科技于2020年8月發現的Mac惡意軟件,它正在Xcode項目中傳播,并利用兩個零日漏洞來從目標系統竊取敏感信息并發起勒索軟件攻擊。
根據趨勢科技的說法,該威脅允許竊取與流行應用程序(包括Evernote,Skype,Notes,QQ,微信和電報)相關的數據。該惡意軟件還允許攻擊者捕獲屏幕截圖并將被盜的文檔泄露到攻擊者的服務器。該惡意軟件還實施勒索軟件行為,能夠加密文件并顯示勒索記錄。
該惡意軟件還能夠發起通用跨站點腳本(UXSS)攻擊,從而在訪問特定網站并改變用戶的瀏覽器體驗時將JavaScript代碼注入瀏覽器。此行為允許惡意代碼替換加密貨幣地址,并從Apple Store竊取在線服務(amoCRM,Apple ID,Google,Paypal,SIPMarket和Yandex)的憑據以及付款卡信息。
趨勢科技發現了兩個注入XCSSET Mac Malware的Xcode項目,一個在7月13日,一個在7月31日。
卡巴斯基研究人員在2021年3月發現了XCSSET的新變體,該變體是為帶有M1芯片的設備編譯的。
“在探索XCSSET的各種可執行模塊時,我們發現其中一些還包含專門為新的Apple Silicon芯片編譯的示例。例如,帶有MD5哈希總和914e49921c19fffd7443deee6ee161a4的示例包含兩個體系結構:x86_64和ARM64。” 指出卡巴斯基發表的報告。
“第一個對應于上一代基于Intel的Mac計算機,但是第二個針對ARM64架構進行了編譯,這意味著它可以在裝有新Apple M1芯片的計算機上運行。”
卡巴斯基分析的樣本已于2021-02-24 21:06:05上傳到VirusTotal,與趨勢科技分析的樣本不同,此變體包含上面的哈希或名為“ metald ”的模塊,即可執行文件的名稱。
趨勢科技研究人員現在提供了有關為XCSSET實現的新功能和有效負載的詳細信息,例如使用名為“ trendmicroano [.] com”的新域作為C&C服務器。以下活動C&C域與94 [.] 130 [.] 27 [.] 189的相同IP地址相關聯:
- Titian [.] com
- Findmymacs [.] com
- Statsmag [.] com
- Statsmag [.] xyz
- Adoberelations [.] com
- Trendmicronano [.] com
其他更改已應用于bootstrap.applescript模塊,該模塊包含調用其他惡意AppleScript模塊的邏輯。其中一項重大更改與用戶名“ apple_mac”的計算機有關,這些計算機是使用新的Apple M1芯片的物理計算機,用于測試具有ARM體系結構的新Mach-O文件是否可以在M1計算機上正常工作。
根據趨勢科技發布的最新報告,XCSSET繼續濫用Safari瀏覽器的開發版本,以通過通用跨站點腳本(UXSS)攻擊將JavaScript后門植入網站。
“正如我們在第一份技術簡介中提到的那樣,此惡意軟件利用Safari的開發版本從其C&C服務器加載惡意的Safari框架和相關的JavaScript后門。它在C&C服務器中托管Safari更新程序包,然后下載并安裝用戶操作系統版本的程序包。為了適應新發布的Big Sur,增加了用于“ Safari 14”的新程序包。” 閱讀趨勢科技發布的報告。“正如我們在safari_remote.applescript中觀察到的那樣,它會根據用戶當前的瀏覽器和操作系統版本下載相應的Safari軟件包。”
研究人員對來自agent.php的最新JavaScript代碼進行了分析,結果表明該惡意軟件能夠從以下站點竊取機密數據:
- 163.com
- Huobi
- binance.com
- nncall.net
- Envato
- login.live.com
在加密貨幣交易平臺Huobi的情況下,該惡意軟件能夠竊取帳戶信息并替換用戶的加密貨幣錢包中的地址,而后者的功能在該惡意軟件的先前版本中不存在。
趨勢科技發布的報告還包括危害指標(IoC)。
