S.E.Reborn
Переслано от SecAtor
Microsoft Threat Intelligence обнаружила новый вариант вредоносного ПО XCSSET для macOS, который использовался в ходе целевых ограниченных атак и включал обновленный функционал.
XCSSET - это модульное вредоносное ПО для macOS, которое реализует кражу широкого профиля данных и криптоактивов с зараженных устройств.
Вредоносное ПО предназначено для заражения проектов Xcode, которые обычно используются разработчиками программного обеспечения, и запускается во время сборки проекта Xcode.
В Microsoft полагают, что этот способ заражения и распространения основан на совместном использовании файлов проекта разработчиками, создающими приложения для Apple или macOS.
В новом варианте исследователи отметили несколько изменений.
Теперь он пытается выкрасть данные из браузера Firefox, устанавливая модифицированную версию инструмента HackBrowserData с открытым исходным кодом, который используется для расшифровки и экспорта данных браузера из хранилищ данных браузера.
Новый вариант также включает обновление компонента перехвата буфера обмена, которое отслеживает буфер macOS на предмет шаблонов регулярных выражений, связанных с адресами криптокошельков.
При обнаружении криптоадреса он подменяет его подконтрольным злоумышленнику. В результате любая транзакция криптовалюты на зараженном устройстве переправляется злоумышленникам.
Вредоносное ПО также включает новые методы сохранения, включая создание записей LaunchDaemon, которые выполняют полезную нагрузку ~/.root и создают поддельный файл System Settings.app в /tmp для маскировки своей активности.
Новый вариант пока не получил широкого распространения, Microsoft наблюдала его лишь в единичных атаках. Исследователи также поделились своими результатами с Apple и работают с GitHub над удалением связанных с ним репозиториев.
Для защиты от этого типа вредоносного ПО рекомендуется поддерживать macOS и приложения в актуальном состоянии, особенно учитывая, что XCSSET ранее эксплуатировал уязвимости, включая 0-day.
Microsoft рекомендует разработчикам всегда проверять проекты Xcode перед их сборкой, особенно если ими с вами поделились другие.
XCSSET - это модульное вредоносное ПО для macOS, которое реализует кражу широкого профиля данных и криптоактивов с зараженных устройств.
Вредоносное ПО предназначено для заражения проектов Xcode, которые обычно используются разработчиками программного обеспечения, и запускается во время сборки проекта Xcode.
В Microsoft полагают, что этот способ заражения и распространения основан на совместном использовании файлов проекта разработчиками, создающими приложения для Apple или macOS.
В новом варианте исследователи отметили несколько изменений.
Теперь он пытается выкрасть данные из браузера Firefox, устанавливая модифицированную версию инструмента HackBrowserData с открытым исходным кодом, который используется для расшифровки и экспорта данных браузера из хранилищ данных браузера.
Новый вариант также включает обновление компонента перехвата буфера обмена, которое отслеживает буфер macOS на предмет шаблонов регулярных выражений, связанных с адресами криптокошельков.
При обнаружении криптоадреса он подменяет его подконтрольным злоумышленнику. В результате любая транзакция криптовалюты на зараженном устройстве переправляется злоумышленникам.
Вредоносное ПО также включает новые методы сохранения, включая создание записей LaunchDaemon, которые выполняют полезную нагрузку ~/.root и создают поддельный файл System Settings.app в /tmp для маскировки своей активности.
Новый вариант пока не получил широкого распространения, Microsoft наблюдала его лишь в единичных атаках. Исследователи также поделились своими результатами с Apple и работают с GitHub над удалением связанных с ним репозиториев.
Для защиты от этого типа вредоносного ПО рекомендуется поддерживать macOS и приложения в актуальном состоянии, особенно учитывая, что XCSSET ранее эксплуатировал уязвимости, включая 0-day.
Microsoft рекомендует разработчикам всегда проверять проекты Xcode перед их сборкой, особенно если ими с вами поделились другие.
GitHub
GitHub - moonD4rk/HackBrowserData: Extract and decrypt browser data, supporting multiple data types, runnable on various operating systems (macOS, Windows, Linux).
Extract and decrypt browser data, supporting multiple data types, runnable on various operating systems (macOS, Windows, Linux). - moonD4rk/HackBrowserData
? 2
9 2.7K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram