XCSSET Mac 惡意軟件：攻擊 Xcode 項目、Safari 等瀏覽器

我們發現開發人員的Xcode項目總體上包含了源惡意軟件，這導致了惡意payloads的小孔。我們的調查中最值得注意的是發現了兩個零時差漏洞：一個漏洞是通過Data Vaults行為的缺陷來竊取Cookie的，另一個漏洞是濫用Safari的開發版本的。

在這種情況下，會將惡意代碼注入到本地Xcode項目中，以便在構建項目時運行惡意代碼。這尤其對Xcode開發人員構成了風險。由于我們已經確定受影響的開發人員在GitHub上共享了他們的項目，因此威脅不斷升級，從而導致對依賴這些存儲庫作為自己項目依賴項的用戶的供應鏈攻擊。

通過Xcode項目和由惡意軟件創建的惡意修改，目前還不清楚威脅最初是如何進入這些系統的。這些系統將主要由開發人員使用。這些Xcode項目被修改，會運行惡意代碼。這最終導致主要的XCSSET惡意軟件被刪除并在受影響的系統上運行。受感染的用戶還容易被盜取其憑據，帳戶和其他重要數據。

一旦出現在受影響的系統上，XCSSET就會具有以下行為：

• 利用漏洞利用，它濫用了現有的Safari和其他已安裝的瀏覽器來竊取用戶數據。尤其是
  • 使用漏洞讀取和轉儲Safari cookie
  • 使用Safari開發版本通過通用跨站點腳本（UXSS）攻擊將JavaScript后門注入網站
• 從用戶的Evernote，Notes，Skype，Telegram，QQ和微信應用程序竊取信息
• 獲取用戶當前屏幕的屏幕截圖
• 將文件從受影響的計算機上載到攻擊者的指定服務器
• 如果服務器命令，將加密文件并顯示贖金記錄

從理論上講，UXSS攻擊能夠將用戶瀏覽器的幾乎所有部分修改為注入JavaScript的任意代碼。這些修改包括：

• 修改顯示的網站
• 修改/替換比特幣/加密貨幣地址
• 竊取amoCRM，Apple ID，Google，Paypal，SIPMarket和Yandex憑據
• 從Apple Store竊取信用卡信息
• 阻止用戶更改密碼，但也竊取新修改的密碼
• 捕獲某些已訪問站點的屏幕截圖

受影響的開發人員將受感染的Xcode項目不經意地將惡意木馬分發給他們的用戶，驗證分發的文件的方法（例如檢查哈希值）將無濟于事，因為開發人員將不會意識到他們正在分發惡意文件。

Indicators of Compromise