XCSSET Mac 恶意软件:攻击 Xcode 项目、Safari 等浏览器

安全小白成长记 2020-08-17
专栏 发布于 2020-08-17 10:22:46 阅读 687 评论 0

我们发现开发人员的Xcode项目总体上包含了源恶意软件,这导致了恶意payloads的小孔。我们的调查中最值得注意的是发现了两个零时差漏洞:一个漏洞是通过Data Vaults行为的缺陷来窃取Cookie的,另一个漏洞是滥用Safari的开发版本的。

在这种情况下,会将恶意代码注入到本地Xcode项目中,以便在构建项目时运行恶意代码。这尤其对Xcode开发人员构成了风险。由于我们已经确定受影响的开发人员在GitHub上共享了他们的项目,因此威胁不断升级,从而导致对依赖这些存储库作为自己项目依赖项的用户的供应链攻击。

通过Xcode项目和由恶意软件创建的恶意修改,目前还不清楚威胁最初是如何进入这些系统的。这些系统将主要由开发人员使用。这些Xcode项目被修改,会运行恶意代码。这最终导致主要的XCSSET恶意软件被删除并在受影响的系统上运行。受感染的用户还容易被盗取其凭据,帐户和其他重要数据。

一旦出现在受影响的系统上,XCSSET就会具有以下行为:

  • 利用漏洞利用,它滥用了现有的Safari和其他已安装的浏览器来窃取用户数据。尤其是
    • 使用漏洞读取和转储Safari cookie
    • 使用Safari开发版本通过通用跨站点脚本(UXSS)攻击将JavaScript后门注入网站
  • 从用户的Evernote,Notes,Skype,Telegram,QQ和微信应用程序窃取信息
  • 获取用户当前屏幕的屏幕截图
  • 将文件从受影响的计算机上载到攻击者的指定服务器
  • 如果服务器命令,将加密文件并显示赎金记录

从理论上讲,UXSS攻击能够将用户浏览器的几乎所有部分修改为注入JavaScript的任意代码。这些修改包括:

  • 修改显示的网站
  • 修改/替换比特币/加密货币地址
  • 窃取amoCRM,Apple ID,Google,Paypal,SIPMarket和Yandex凭据
  • 从Apple Store窃取信用卡信息
  • 阻止用户更改密码,但也窃取新修改的密码
  • 捕获某些已访问站点的屏幕截图

受影响的开发人员将受感染的Xcode项目不经意地将恶意木马分发给他们的用户,验证分发的文件的方法(例如检查哈希值)将无济于事,因为开发人员将不会意识到他们正在分发恶意文件。

Indicators of Compromise

SHA256 Filename Detection
6fa938770e83ef2e177e8adf4a2ea3d2d5b26107c30f9d85c3d1a557db2aed41 main.scpt TrojanSpy.MacOS.XCSSET.A
7e5343362fceeae3f44c7ca640571a1b148364c4ba296ab6f8d264fc2c62cb61 main.scpt TrojanSpy.MacOS.XCSSET.A
857dc86528d0ec8f5938680e6f89d846541a41d62f71d003b74b0c55d645cda7 main.scpt TrojanSpy.MacOS.XCSSET.A
6614978ab256f922d7b6dbd7cc15c6136819f4bcfb5a0fead480561f0df54ca6 xcassets TrojanSpy.MacOS.XCSSET.A
ac3467a04eeb552d92651af1187bdc795100ea77a7a1ac755b4681c654b54692 xcassets TrojanSpy.MacOS.XCSSET.a
d11a549e6bc913c78673f4e142e577f372311404766be8a3153792de9f00f6c1 xcassets TrojanSpy.MacOS.XCSSET.A
532837d19b6446a64cb8b199c9406fd46aa94c3fe41111a373426b9ce59f56f9 speedd Backdoor.MacOS.XCSSET.A
4f78afd616bfefaa780771e69a71915e67ee6dbcdc1bc98587e219e120f3ea0d firefoxd Backdoor.MacOS.XCSSET.A
819ba3c3ef77d00eae1afa8d2db055813190c3d133de2c2c837699a0988d6493 operad Backdoor.MacOS.XCSSET.A
73f203b5e37cf34e51f7bf457b0db8e4d2524f81e41102da7a26f5590ab32cd9 yandexd Backdoor.MacOS.XCSSET.A
ccc2e6de03c0f3315b9e8e05967fcc791d063a392277f063980d3a1b39db2079 edged Backdoor.MacOS.XCSSET.A
6622887a849b503b120cfef8cd76cd2631a5d0978116444a9cb92b1493e42c29 braved Backdoor.MacOS.XCSSET.A
32fa0cdb46f204fc370c86c3e93fa01e5f5cb5a460407333c24dc79953206443 agentd Backdoor.MacOS.XCSSET.A
924a89866ea55ee932dabb304f851187d97806ab60865a04ccd91a0d1b992246 agentd-kill Backdoor.MacOS.XCSSET.A
af3a2c0d14cc51cc8615da4d99f33110f95b7091111d20bdba40c91ef759b4d7 agentd-log Backdoor.MacOS.XCSSET.A
534f453238cfc4bb13fda70ed2cda701f3fb52b5d81de9d8d00da74bc97ec7f6 dskwalp Trojan.MacOS.XCSSET.A
172eb05a2f72cb89e38be3ac91fd13929ee536073d1fe576bc8b8d8d6ec6c262 chkdsk Trojan.MacOS.XCSSET.A
a238ed8a801e48300169afae7d27b5e49a946661ed91fab4f792e99243fbc28d Pods_shad Trojan.MacOS.XCSSET.A
IP/Domain WRS Action
hxxps://adobestats.com/ Block and Categorized as C&C Server
hxxps://flixprice.com/ Block and Categorized as C&C Server
46.101.126.33 Block and Categorized as C&C Server
本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!