XCSSET 恶意软件针对苹果新推出的 M1 芯片
针对Xcode开发者的Mac恶意软件XCSSET现在被重新设计,并用于针对苹果新推出的M1芯片的宣传活动中。
趋势科技的专家发现了一个针对Xcode开发人员的Mac恶意软件活动,该活动采用了XCSSET恶意软件的重新设计版本来支持Apple的新M1芯片。新的变体还实现了针对窃取加密货币应用程序的数据窃取的新功能。
XCSSET是由趋势科技于2020年8月发现的Mac恶意软件,它正在Xcode项目中传播,并利用两个零日漏洞来从目标系统窃取敏感信息并发起勒索软件攻击。
根据趋势科技的说法,该威胁允许窃取与流行应用程序(包括Evernote,Skype,Notes,QQ,微信和电报)相关的数据。该恶意软件还允许攻击者捕获屏幕截图并将被盗的文档泄露到攻击者的服务器。该恶意软件还实施勒索软件行为,能够加密文件并显示勒索记录。
该恶意软件还能够发起通用跨站点脚本(UXSS)攻击,从而在访问特定网站并改变用户的浏览器体验时将JavaScript代码注入浏览器。此行为允许恶意代码替换加密货币地址,并从Apple Store窃取在线服务(amoCRM,Apple ID,Google,Paypal,SIPMarket和Yandex)的凭据以及付款卡信息。
趋势科技发现了两个注入XCSSET Mac Malware的Xcode项目,一个在7月13日,一个在7月31日。
卡巴斯基研究人员在2021年3月发现了XCSSET的新变体,该变体是为带有M1芯片的设备编译的。
“在探索XCSSET的各种可执行模块时,我们发现其中一些还包含专门为新的Apple Silicon芯片编译的示例。例如,带有MD5哈希总和914e49921c19fffd7443deee6ee161a4的示例包含两个体系结构:x86_64和ARM64。” 指出卡巴斯基发表的报告。
“第一个对应于上一代基于Intel的Mac计算机,但是第二个针对ARM64架构进行了编译,这意味着它可以在装有新Apple M1芯片的计算机上运行。”
卡巴斯基分析的样本已于2021-02-24 21:06:05上传到VirusTotal,与趋势科技分析的样本不同,此变体包含上面的哈希或名为“ metald ”的模块,即可执行文件的名称。
趋势科技研究人员现在提供了有关为XCSSET实现的新功能和有效负载的详细信息,例如使用名为“ trendmicroano [.] com”的新域作为C&C服务器。以下活动C&C域与94 [.] 130 [.] 27 [.] 189的相同IP地址相关联:
- Titian [.] com
- Findmymacs [.] com
- Statsmag [.] com
- Statsmag [.] xyz
- Adoberelations [.] com
- Trendmicronano [.] com
其他更改已应用于bootstrap.applescript模块,该模块包含调用其他恶意AppleScript模块的逻辑。其中一项重大更改与用户名“ apple_mac”的计算机有关,这些计算机是使用新的Apple M1芯片的物理计算机,用于测试具有ARM体系结构的新Mach-O文件是否可以在M1计算机上正常工作。
根据趋势科技发布的最新报告,XCSSET继续滥用Safari浏览器的开发版本,以通过通用跨站点脚本(UXSS)攻击将JavaScript后门植入网站。
“正如我们在第一份技术简介中提到的那样,此恶意软件利用Safari的开发版本从其C&C服务器加载恶意的Safari框架和相关的JavaScript后门。它在C&C服务器中托管Safari更新程序包,然后下载并安装用户操作系统版本的程序包。为了适应新发布的Big Sur,增加了用于“ Safari 14”的新程序包。” 阅读趋势科技发布的报告。“正如我们在safari_remote.applescript中观察到的那样,它会根据用户当前的浏览器和操作系统版本下载相应的Safari软件包。”
研究人员对来自agent.php的最新JavaScript代码进行了分析,结果表明该恶意软件能够从以下站点窃取机密数据:
- 163.com
- Huobi
- binance.com
- nncall.net
- Envato
- login.live.com
在加密货币交易平台Huobi的情况下,该恶意软件能够窃取帐户信息并替换用户的加密货币钱包中的地址,而后者的功能在该恶意软件的先前版本中不存在。
趋势科技发布的报告还包括危害指标(IoC)。
