Вредоносная программа XCSSET на macOS снова атакует

Новый вариант вредоносной программы XCSSET для macOS был замечен «в ограниченных атаках» исследователями угроз Microsoft.

Вредоносная программа XCSSET для macOS

XCSSET – вредоносная программа для кражи информации и установки бэкдоров, нацеленная на пользователей Mac.

Обычно она распространяется через зараженные проекты Xcode – набор файлов, настроек и конфигураций, составляющих приложение или фреймворк, разработанные с помощью Xcode, официальной интегрированной среды разработки (IDE) Apple для macOS.

Интересно: Как повысить безопасность Linux утилитой Pledge от OpenBSD?

Угроза существует уже несколько лет. Прошлые варианты даже использовали уязвимости нулевого дня для выполнения некоторых своих вредоносных действий.

Известно, что она способна делать скриншоты, похищать куки браузера и другие данные, перехватывать данные из таких приложений, как Telegram, WeChat, Evernote и других.

Вариант, обнаруженный Microsoft, также может собирать данные из приложения Notes, перехватывать системную информацию и файлы, а также атаковать цифровые кошельки. Усовершенствованные методы обфускации усложняют анализ вредоносного ПО.

Новые методы заражения и сохранения

XCSSET – это вредоносное ПО, которое, судя по всему, нацелено на определенную группу пользователей macOS: разработчиков программного обеспечения.

«Используемый метод распространения можно охарактеризовать только как умный»
- заявили исследователи Trend Micro, впервые обнаружившие XCSSET

Интересно: Уязвимости в приложениях Microsoft для macOS могут дать злоумышленникам доступ к микрофону и камере

«Пострадавшие разработчики будут невольно распространять вредоносный троян среди своих пользователей в виде скомпрометированных проектов Xcode, и методы проверки распространяемых файлов (например, проверка хэшей) не помогут, поскольку разработчики не будут знать, что распространяют вредоносные файлы».

Исследователи Microsoft обнаружили в новом варианте новые методы заражения.

«Троян вводит новые методы для определения места размещения полезной нагрузки в целевом проекте Xcode. Метод выбирается из одной из следующих опций: TARGET, RULE или FORCED_STRATEGY. Дополнительный метод предполагает размещение полезной нагрузки в ключе TARGET_DEVICE_FAMILY в настройках сборки и ее запуск на последнем этапе.»

Вредоносная программа также использует новые механизмы сохранения:

  • Создает файл ~/.zshrc_aliases, содержащий полезную нагрузку, и добавляет в него команду, которая будет запускать его каждый раз, когда инициируется новый сеанс оболочки.
  • Загружает с командно-контрольного сервера подписанный инструмент dockutil для управления элементами дока, создает поддельное приложение Launchpad и заменяет легитимную запись пути Launchpad в доке на поддельную. Результат? Каждый раз, когда Launchpad запускается из дока, выполняется и легитимный Launchpad, и вредоносная полезная нагрузка.

Разработчикам следует быть осторожными при загрузке или клонировании проектов Xcode из онлайн-репозиториев, с веб-сайтов и сообществ разработчиков. Даже проекты, предоставленные кем-то, кому вы доверяете, должны быть проверены, поскольку они могут не знать, что проект «заражен».

Сударев Александр Эксперт по безопасности, криптовалютам и умным домам

Люблю технологии и криптовалюты. Создаю свой умный дом и делюсь этим с Вами. Знаю как предотвратить хакерскую атаку, так как немного смыслю в безопасности

Похожие статьи
Новый вирус для macOS нацелен на пользователей криптовалют
Новая атака GoFetch на процессоры Apple может украсть криптографические ключи
Как повысить безопасность Linux утилитой Pledge от OpenBSD?
Google исправляет нулевой день в Android
Seal OS устраняет уязвимости в операционных системах Linux

Комментарии (0)