По данным Microsoft Threat Intelligence, в ходе ограниченных атак был обнаружен новый вариант вредоносной программы XCSSET для MacOS, включающий несколько новых функций, в том числе цель браузер, захват буфера обмена и улучшенные механизмы персистентности.
XCSSET – это модульная вредоносная программа для macOS, которая действует как похититель информации и криптовалюты, воруя заметки, криптовалютные кошельки и данные браузера с зараженных устройств. Вредоносная программа распространяется путем поиска и заражения других проектов Xcode, найденных на устройстве, так что вредоносная программа запускается при сборке проекта.
«Вредоносная программа XCSSET предназначена для заражения проектов Xcode, обычно используемых разработчиками программного обеспечения, и запускается во время создания проекта Xcode»
- поясняет Microsoft
«По нашим оценкам, этот способ заражения и распространения основан на совместном использовании файлов проектов разработчиками, создающими приложения для Apple или macOS».
В новом варианте, замеченном Microsoft, исследователи отметили несколько изменений.
Теперь он пытается украсть данные браузера Firefox, устанавливая модифицированную сборку инструмента HackBrowserData с открытым исходным кодом, который используется для расшифровки и экспорта данных браузера из хранилищ данных браузера.
Новый вариант также включает обновление компонента для взлома буфера обмена, который отслеживает буфер обмена macOS на предмет шаблонов регулярных выражений, связанных с криптовалютными адресами.
При обнаружении криптовалютного адреса он заменяет его адресом, принадлежащим злоумышленнику. В результате любая криптовалюта, отправленная пользователем на зараженном устройстве, будет отправлена злоумышленникам.
Вредоносная программа также включает новые методы сохранения, такие как создание записей LaunchDaemon, которые выполняют полезную нагрузку ~/.root и создают поддельное приложение System Settings.app в /tmp для маскировки своей активности.
Новый вариант пока не получил широкого распространения, и Microsoft сообщает, что наблюдала его лишь в ограниченных атаках. Исследователи также поделились своими находками с Apple и работают с github над удалением связанных репозиториев.
Для защиты от этого типа вредоносного ПО рекомендуется поддерживать macOS и приложения в актуальном состоянии, особенно учитывая, что XCSSET ранее уже использовал уязвимости, в том числе нулевого дня.
Microsoft также рекомендует разработчикам всегда проверять проекты Xcode перед их созданием, особенно если они были предоставлены вам другими людьми.