XCSSET Mac 恶意软件发生新变种,针对在 Apple M1 芯片进行编译

Andrew 2021-03-15
专栏 发布于 2021-03-15 09:57:59 阅读 149 评论 0

卡巴斯基的研究人员发现了XCSSET Mac恶意软件的新变种,该变种针对运行在Apple M1芯片上的设备进行了编译。

XCSSET是由趋势科技于2020年8月发现的Mac恶意软件,它正在Xcode项目中传播,并利用两个零日漏洞来从目标系统窃取敏感信息并发起勒索软件攻击。

根据趋势科技的说法,该威胁允许窃取与流行应用程序(包括Evernote,Skype,Notes,QQ,微信和电报)相关的数据。该恶意软件还允许攻击者捕获屏幕截图并将被盗的文档泄露到攻击者的服务器。该恶意软件还实施勒索软件行为,能够加密文件并显示勒索记录。

该恶意软件还能够发起通用跨站点脚本(UXSS)攻击,从而在访问特定网站并改变用户的浏览器体验时将JavaScript代码注入浏览器。此行为允许恶意代码替换加密货币地址,并从Apple Store窃取在线服务(amoCRM,Apple ID,Google,Paypal,SIPMarket和Yandex)的凭据以及付款卡信息。

趋势科技发现了两个注入XCSSET Mac Malware的Xcode项目,一个在7月13日,一个在7月31日。

对C&C服务器的分析显示了380个受害IP地址的列表,其中大多数位于中国(152个)和印度(103个)。然而,本周卡巴斯基发现了针对M1芯片的XCSSET的新变种。

“在探索XCSSET的各种可执行模块时,我们发现其中一些还包含专门为新的Apple Silicon芯片编译的示例。例如,带有MD5哈希总和914e49921c19fffd7443deee6ee161a4的示例包含两个体系结构:x86_64和ARM64。” 指出卡巴斯基发表的报告。

“第一个对应于上一代基于Intel的Mac计算机,但是第二个针对ARM64架构进行了编译,这意味着它可以在装有新Apple M1芯片的计算机上运行。”

卡巴斯基分析的样本已于2021-02-24 21:06:05上传到VirusTotal,与趋势科技分析的样本不同,此变体包含上面的哈希或名为“ metald”的模块,即可执行文件的名称。

专家认为,XCSSET战役可能仍在进行中,多个恶意软件作者正在重新编译Mac恶意软件,使其可以在新的Apple Macs M1芯片上运行。

最近,专家发现了专门设计用于感染运行在M1芯片上的Mac的其他恶意软件。

一月份,广受欢迎的安全研究人员Patrick Wardle发现了针对M1芯片的首批恶意软件之一,它是专门为新一代Apple芯片编译的Pirrit广告软件的一种变体。

2月,Red Canary的恶意软件研究人员发现了另一种名为Silver Sparrow的恶意软件,该恶意软件正在使用世界各地最新的Apple M1芯片感染Mac系统。

根据Malwarebytes共享的数据,截至2月17日,Silver Sparrow已经感染了153个国家/地区的29,139个macOS端点。大多数感染是在加拿大,法国,德国,英国和美国观察到的。

在撰写本文时,尚不清楚Silver Sparrow广告软件背后的威胁行为者打算在受害机器上部署的最终有效载荷是什么。专家认为,这种恶意软件是高级和复杂对手的产物。

Wardle指出,威胁行动者正集中力量开发针对使用新Apple芯片的设备的威胁,Wardle指出,(静态)分析工具或防病毒引擎在分析ARM64二进制文件时会遇到困难,这通过以下事实得以证明:与Intel x86_64版本相比,恶意软件的恶意软件攻击性更低。

“有了新的M1芯片,苹果公司当然已经提高了Mac计算机的性能和节能极限,但是恶意软件开发人员一直关注这些创新,并通过将代码移植到ARM64架构上,迅速将其可执行文件调整为适用于Apple Silicon的产品。” 卡巴斯基总结。

“我们已经观察到了各种尝试,不仅在典型的广告软件(例如Pirrit或Bnodlero示例)之间移植了可执行文件,而且还在恶意软件包(例如Silver Sparrow威胁和XCSSET可下载的恶意模块)之间移植了可执行文件。这无疑将为其他恶意软件对手提供一个开端,以开始调整其代码以在Apple M1芯片上运行。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!