XCSSET malware za krađu informacija se vraća, cilja macOS korisnike i developer-e

Damjan

4 days ago

XCSSET malware za krađu informacija se vraća, cilja macOS korisnike i developer-e-Kiber.ba

Nova, poboljšana varijanta XCSSET malware-a za macOS otkrivena je u “ograničenim napadima”, upozoravaju istraživači prijetnji iz Microsofta.

XCSSET macOS malware

XCSSET je malware dizajnisan za krađu informacija i ubacivanje backdoora, posebno usmjeren na korisnike Mac računara.

Obično se distribuira putem zaraženih Xcode projekata – kolekcije datoteka, postavki i konfiguracija koje čine aplikaciju ili framework razvijen pomoću Xcode-a, Apple-ovog službenog integrisanog razvojnog okruženja (IDE) za macOS.

Ova prijetnja prisutna je već nekoliko godina, a prethodne verzije čak su koristile zero-day ranjivosti za izvođenje svojih zlonamjernih radnji.

Poznato je da XCSSET može:

Snimati screenshote,
Krasti kolačiće iz pretreživača i druge osjetljive podatke,
Dohvatati informacije iz aplikacija poput Telegrama, WeChata, Evernote-a i drugih.

Nova varijanta, koju je otkrio Microsoft, sada može i:

Prikupljati podatke iz aplikacije Notes,
Eksfiltrirati sistemske informacije i datoteke,
Ciljati digitalne novčanike.

Pored toga, koristi naprednije metode obfuskacije, što analizu malware-a čini težom.

Nove tehnike infekcije i upornosti

XCSSET je malware koji je prvenstveno usmjeren na razvojne programere za macOS.

„Metoda distribucije može se opisati samo kao pametna“, rekli su istraživači iz Trend Micro-a kada su prvi put otkrili XCSSET.

„Zaraženi developeri nesvjesno distribuiraju maliciozni trojanac svojim korisnicima u obliku kompromitovanih Xcode projekata, a standardne metode provjere autentičnosti datoteka (poput provjere hash vrijednosti) ne bi pomogle jer developeri ne znaju da distribuiraju maliciozne datoteke.“

Microsoftovi istraživači su sada otkrili nove tehnike infekcije u ovoj varijanti XCSSET-a.

„Nova verzija koristi različite metode za stavljanje malicioznog koda u ciljni Xcode projekat.“

Izbor metode zavisi od jedne od sljedećih opcija:

TARGET
RULE
FORCED_STRATEGY

Dodatno, malware može staviti kod unutar ključa TARGET_DEVICE_FAMILY u postavkama build-a i pokrenuti ga u kasnijoj fazi.

Nove metode postizanja upornosti

XCSSET koristi različite mehanizme kako bi ostao na kompromitovanom sistemu:

Kreira datoteku ~/.zshrc_aliases, koja sadrži maliciozni kod, i dodaje naredbu koja se pokreće svaki put kada se otvori nova shell sesija.

Preuzima alat dockutil sa komandno-kontrolnog (C2) servera i koristi ga za manipulaciju Dock stavkama.

Kreira lažnu aplikaciju Launchpad i mijenja putanju originalnog Launchpada u Dock-u tako da svaki put kada korisnik otvori Launchpad, pokreće i legitimnu i malicioznu verziju istovremeno.

Savjeti za developere

Razvojni programeri bi trebali biti izuzetno oprezni prilikom preuzimanja ili kloniranja Xcode projekata sa online repozitorija, web stranica i developerskih zajednica.

Čak i projekti koji dolaze od pouzdanih izvora mogu biti kompromitovani bez znanja originalnog developera.

Izvor:Help Net Security