Nova, poboljšana varijanta XCSSET malware-a za macOS otkrivena je u “ograničenim napadima”, upozoravaju istraživači prijetnji iz Microsofta.
XCSSET macOS malware
XCSSET je malware dizajnisan za krađu informacija i ubacivanje backdoora, posebno usmjeren na korisnike Mac računara.
Obično se distribuira putem zaraženih Xcode projekata – kolekcije datoteka, postavki i konfiguracija koje čine aplikaciju ili framework razvijen pomoću Xcode-a, Apple-ovog službenog integrisanog razvojnog okruženja (IDE) za macOS.
Ova prijetnja prisutna je već nekoliko godina, a prethodne verzije čak su koristile zero-day ranjivosti za izvođenje svojih zlonamjernih radnji.
Poznato je da XCSSET može:
- Snimati screenshote,
- Krasti kolačiće iz pretreživača i druge osjetljive podatke,
- Dohvatati informacije iz aplikacija poput Telegrama, WeChata, Evernote-a i drugih.
Nova varijanta, koju je otkrio Microsoft, sada može i:
- Prikupljati podatke iz aplikacije Notes,
- Eksfiltrirati sistemske informacije i datoteke,
- Ciljati digitalne novčanike.
Pored toga, koristi naprednije metode obfuskacije, što analizu malware-a čini težom.
Nove tehnike infekcije i upornosti
XCSSET je malware koji je prvenstveno usmjeren na razvojne programere za macOS.
„Metoda distribucije može se opisati samo kao pametna“, rekli su istraživači iz Trend Micro-a kada su prvi put otkrili XCSSET.
„Zaraženi developeri nesvjesno distribuiraju maliciozni trojanac svojim korisnicima u obliku kompromitovanih Xcode projekata, a standardne metode provjere autentičnosti datoteka (poput provjere hash vrijednosti) ne bi pomogle jer developeri ne znaju da distribuiraju maliciozne datoteke.“
Microsoftovi istraživači su sada otkrili nove tehnike infekcije u ovoj varijanti XCSSET-a.
„Nova verzija koristi različite metode za stavljanje malicioznog koda u ciljni Xcode projekat.“
Izbor metode zavisi od jedne od sljedećih opcija:
- TARGET
- RULE
- FORCED_STRATEGY
Dodatno, malware može staviti kod unutar ključa TARGET_DEVICE_FAMILY u postavkama build-a i pokrenuti ga u kasnijoj fazi.
Nove metode postizanja upornosti
XCSSET koristi različite mehanizme kako bi ostao na kompromitovanom sistemu:
- Kreira datoteku
~/.zshrc_aliases, koja sadrži maliciozni kod, i dodaje naredbu koja se pokreće svaki put kada se otvori nova shell sesija.
- Preuzima alat
dockutilsa komandno-kontrolnog (C2) servera i koristi ga za manipulaciju Dock stavkama.
- Kreira lažnu aplikaciju Launchpad i mijenja putanju originalnog Launchpada u Dock-u tako da svaki put kada korisnik otvori Launchpad, pokreće i legitimnu i malicioznu verziju istovremeno.
Savjeti za developere
Razvojni programeri bi trebali biti izuzetno oprezni prilikom preuzimanja ili kloniranja Xcode projekata sa online repozitorija, web stranica i developerskih zajednica.
Čak i projekti koji dolaze od pouzdanih izvora mogu biti kompromitovani bez znanja originalnog developera.
Izvor:Help Net Security
