Siber güvenlik araştırmacıları, bilinen bir Apple macOS kötü amaçlı yazılımının güncellenmiş bir versiyonunu keşfettiler. XCSSET Sınırlı saldırılarda gözlemlendi.
Microsoft Tehdit İstihbarat Ekibi Perşembe raporunda, “Bu yeni XCSSET varyantı, tarayıcı hedefleme, pano kaçırma ve kalıcılık mekanizmaları ile ilgili temel değişiklikler getiriyor.” Dedi.
“Sofistike şifreleme ve gizleme teknikleri kullanır, gizli yürütme için yalnızca çalıştırılmış derlenmiş elma metinleri kullanır ve Firefox tarayıcı verilerini dahil etmek için veri açığa vurma özelliklerini genişletir. Ayrıca LaunchDaemon girişleri aracılığıyla başka bir kalıcılık mekanizması ekler.”
XCSSET, yazılım geliştiricileri tarafından kullanılan Xcode projelerini enfekte etmek ve inşa edilirken kötü amaçlı özelliklerini ortaya çıkarmak için tasarlanmış gelişmiş bir modüler kötü amaçlı yazılım için atanan addır. Tam olarak kötü amaçlı yazılımların nasıl dağıtıldığı belirsizliğini koruyor, ancak yayılmanın MacOS için uygulamalar oluşturma uygulamaları arasında paylaşılan Xcode proje dosyalarına dayandığından şüpheleniliyor.
Bu Mart ayının başlarında Microsoft, kötü amaçlı yazılımlarda çeşitli geliştirmeler ortaya çıkardı, gelişmiş hata işlemesini ve tehlikeli ana bilgisayarlardan duyarlı verileri sifonlamak için üç farklı kalıcılık tekniğinin kullanılmasını vurguladı.
XCSSET’in en son varyantının, çeşitli kripto para birimi cüzdanlarıyla eşleşen belirli normal ifade (REGEX) desenleri için pano içeriğini izleyen bir kesme alt modülü içerdiği bulunmuştur. Bir eşleşme durumunda, kötü amaçlı yazılım, panodaki cüzdan adresini saldırgan kontrollü bir işlemle değiştirmeye devam eder.
Windows Maker ayrıca, yeni yinelemenin, özellikle bir Applescript uygulamasının, sistem bilgilerini toplamaktan ve bir boot () işlevini kullanarak çeşitli alt modülleri piyasaya sürmekten sorumlu bir kabuk komutu çalıştırmak için bir Applescript uygulamasının kullanıldığı durumlarda, enfeksiyon zincirinin dördüncü aşamasında değişiklikler getirdiğini belirtti.
Özellikle, değişiklikler Mozilla Firefox tarayıcısı için ekstra kontroller ve Telegram mesajlaşma uygulamasının varlığını belirlemek için değiştirilmiş bir mantık içerir. Ayrıca, çeşitli modüllerde değişikliklerin yanı sıra önceki sürümlerde bulunmayan yeni modüller de gözleniyor –
- Daha önce SEZECJ olarak adlandırılan ve OSascript kullanarak çalıştırılan BNK adlı bir modülü indiren Vexyeqj, daha önce SEZECJ olarak adlandırılan bilgi modülü. Komut dosyası, veri doğrulama, şifreleme, şifre çözme, komut ve kontrol (C2) sunucusundan ek veri getirme ve günlüğe kaydetme işlevlerini tanımlar. Ayrıca Clipper işlevselliğini de içerir.
- NEQ_CDYD_ILVCMWX, dosyaları C2 sunucusuna ekleyen TXZX_VOSTFDI’ya benzer bir modül olan
- Xmyyeqjx, Launchdaemon tabanlı kalıcılığı ayarlamak için bir modül
- Jey, git tabanlı kalıcılığı ayarlamak için bir modül
- IEWMILH_CDYD, HackbrowserData adlı halka açık bir aracın değiştirilmiş bir sürümünü kullanarak Firefox’tan veri çalacak bir modül
XCSSET’in ortaya koyduğu tehdidi azaltmak için, kullanıcıların sistemlerini güncel tutmalarını, depolardan veya diğer kaynaklardan indirilen veya klonlanan Xcode projelerini incelediklerinden ve panodan kopyalama ve yapıştırma konusunda dikkatli olduklarından emin olmaları önerilir.