Malvér, ktorý sa šíri prostredníctvom projektov Xcode, sa teraz zameriava AppleMacy založené na M1

Kampaň na malvér Mac zameraná na vývojárov Xcode bola prerobená tak, aby bola pridaná podpora Applenové čipy M1 a rozšíria svoje funkcie na ukradnutie dôverných informácií z aplikácií pre kryptomeny.

XCSSET sa dostal do centra pozornosti v auguste 2020 po tom, čo sa zistilo, že sa šíri prostredníctvom upravených projektov Xcode IDE, ktoré boli pri budovaní nakonfigurované tak, aby spúšťali užitočné zaťaženie. Malvér prebaľuje moduly užitočného zaťaženia tak, aby napodobňovali legitímne aplikácie Mac, ktoré sú v konečnom dôsledku zodpovedné za infikovanie miestnych projektov Xcode a vloženie hlavného obsahu, ktorý sa má spustiť, keď sa kompromitovaný projekt vytvorí.

Moduly XCSSET prichádzajú s možnosťami kradnúť poverenia, zachytávať snímky obrazovky, vkladať škodlivý JavaScript na webové stránky, drancovať používateľské údaje z rôznych aplikácií a dokonca šifrovať súbory za výkupné.

Potom v marci 2021 výskumníci spoločnosti Kaspersky odhalili vzorky XCSSET zostavené pre nové Apple čipy M1, čo naznačuje, že kampaň proti malvéru nielenže prebiehala, ale aj to, že protivníci aktívne prispôsobujú svoje spustiteľné súbory a prenášajú ich na nové Apple Silicon Mac natívne.

Najnovší výskum spoločnosti Trend Micro ukazuje, že XCSSET naďalej zneužíva vývojovú verziu prehliadača Safari na umiestňovanie zadných vrátok JavaScriptu na webové stránky prostredníctvom útokov Universal Cross-site Scripting (UXSS).

„Hostia aktualizačné balíčky Safari v [command-and-control] server, potom stiahne a nainštaluje balíky pre verziu operačného systému používateľa,” uviedli výskumníci Trend Micro v analýze zverejnenej v piatok. „Na prispôsobenie sa novo vydanému Big Sur boli pridané nové balíčky pre ‘Safari 14’.”

Okrem trojanizácie Safari na extrakciu údajov je malvér známy aj tým, že využíva režim vzdialeného ladenia v iných prehliadačoch, ako sú Google Chrome, Brave, Microsoft Edge, Mozilla Firefox, Opera, Qihoo 360 Browser a Yandex Browser na vykonávanie útokov UXSS. .

A čo viac, malvér sa teraz dokonca pokúša ukradnúť informácie o účte z viacerých webových stránok vrátane NNCall.net, Envato a 163.com a platforiem na obchodovanie s kryptomenami, ako sú Huobi a Binance, so schopnosťou nahradiť adresu v kryptomenovej peňaženke používateľa týmito pod kontrolou útočníka.

Spôsob distribúcie XCSSET prostredníctvom upravených projektov Xcode predstavuje vážnu hrozbu, pretože dotknutí vývojári, ktorí nevedomky zdieľajú svoju prácu na GitHub, by mohli preniesť malvér na svojich používateľov vo forme kompromitovaných projektov Xcode, čo by viedlo k „útoku podobnému dodávateľskému reťazcu. pre používateľov, ktorí sa spoliehajú na tieto úložiská ako na závislosti vo svojich vlastných projektoch.“