网络安全研究人员发现了一个已知的苹果macOS恶意软件的更新版本,该恶意软件名为XCSSET,目前已在少数攻击中被发现。
微软威胁情报团队在周四的一份报告中表示:“XCSSET的这种新变种在浏览器目标攻击、剪贴板劫持和持久化机制方面带来了关键变化。”
它采用复杂的加密和混淆技术,使用仅可运行的编译型AppleScripts实现隐秘执行,并扩展了其数据窃取能力,将Firefox浏览器数据也纳入其中。它还通过LaunchDaemon条目增加了另一种持久化机制。
XCSSET是一种复杂的模块化恶意软件的名称,其设计目的是感染软件开发人员使用的Xcode项目,并在项目构建时释放其恶意功能。目前尚不清楚该恶意软件的具体传播方式,但据推测,其传播依赖于开发人员在为macOS构建应用程序时共享的Xcode项目文件。
今年3月早些时候,微软发现了该恶意软件的多项增强功能,着重指出其改进的错误处理能力以及使用三种不同的持久化技术从受感染主机中窃取敏感数据的行为。
值得注意的是,这些修改包括对Mozilla Firefox浏览器的额外检查,以及用于确定Telegram即时通讯应用是否存在的调整后的逻辑。此外,还能看到对多个模块的更改,以及在先前版本中不存在的新模块——
- vexyeqj是此前名为seizecj的信息模块,它会下载一个名为bnk的模块,该模块通过osascript运行。此脚本定义了用于数据验证、加密、解密、从命令与控制(C2)服务器获取额外数据以及日志记录的函数。它还包含剪贴板劫持功能。
- neq_cdyd_ilvcmwx,一个类似于txzx_vostfdi的模块,可将文件窃取到C2服务器
- xmyyeqjx,一个用于设置基于LaunchDaemon的持久化的模块
- jey,一个用于设置基于Git的持久性的模块
- iewmilh_cdyd是一个模块,它使用名为HackBrowserData的公开可用工具的修改版本从Firefox窃取数据。
为减轻XCSSET带来的威胁,建议用户确保系统保持最新状态,检查从代码仓库或其他来源下载或克隆的Xcode项目,并在从剪贴板复制和粘贴敏感数据时保持警惕。
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
