Siber güvenlik araştırmacıları, XCSSET kötü amaçlı yazılımların özellikle enfekte Xcode projeleri aracılığıyla macOS geliştiricilerini hedefleyen gelişmiş bir varyantını keşfettiler ve gelişmiş pano kaçırma ve geliştirilmiş veri pespiltrasyon özellikleri getirdi.
Microsoft Tehdit İstihbaratı, Wild’da önceki güvenlik analizlerinde detaylandırılanların ötesinde daha fazla güncelleme ve yeni modül sunan başka bir XCSSET varyantı belirledi.
XCSSET kötü amaçlı yazılım, genellikle yazılım geliştiricileri tarafından kullanılan Xcode projelerini enfekte etmek ve bir Xcode projesi oluşturulurken çalıştırmak için tasarlanmıştır.
Güvenlik uzmanları, Apple veya MacOS ile ilgili uygulamalar oluşturan geliştiriciler arasında paylaşılan proje dosyaları üzerindeki bu enfeksiyon ve yayılma bankalarının modunun bu şekilde olduğunu belirtiyor.
Bu yeni XCSSET varyantı, tarayıcı hedefleme, pano kaçırma ve kalıcılık mekanizmaları ile ilgili önemli değişiklikler getiriyor.
Sofistike şifreleme ve gizleme teknikleri kullanır, gizli yürütme için yalnızca çalıştırılmış Derlenmiş Applescrips kullanır ve Firefox tarayıcı verilerini dahil etmek için veri söndürme özelliklerini genişletir.
Kötü amaçlı yazılım ayrıca LaunchDaemon girişleri aracılığıyla başka bir kalıcılık mekanizması ekleyerek algılamayı ve kaldırmayı zorlaştırır.
En çok ilave, panoyu sürekli olarak izlemek için tasarlanmış bir alt modüldür. Bu modül, çeşitli dijital cüzdanlarla ilişkili adresi içeren bir yapılandırma dosyasına başvurur.
Bir desen eşleşmesi algılanırsa, XCSSET, pano içeriğini kendi önceden tanımlanmış cüzdan adresleri ile değiştirebilir ve kripto para işlemlerini etkili bir şekilde ele geçirebilir.
Yeni modüllerin teknik analizi
En son XCSSET varyantı dört aşamalı bir enfeksiyon zincirini takip eder ve dördüncü aşama birkaç yeni kötü amaçlı modül sunar.
Vexyeqj Info-Stealer modülü, sofistike pano izleme ve kripto para cüzdanı kaçırma gerçekleştiren “BNK” adlı yalnızca çalıştırılmış derlenmiş bir Applescript indirir ve yürütür.
Bu modül, komut ve kontrol sunucularından alınan yapılandırma verilerinin şifresini çözmek için sabit kodlu bir tuşla (27860c1670a8d2f3de7bbc74cd754121) AES şifrelemesini kullanır.
Kötü amaçlı yazılımın pano kaçırma işlevi özellikle sofistike. Pano içeriğinin kripto para birimi cüzdanı adres desenleriyle eşleşip eşleşmediğini, bir blok listesine karşı en ön uygulamayı doğruladığını ve pano verilerinin önceki girişlerden farklı olmasını sağlayacağını kontrol eder. Koşullar karşılandığında, meşru cüzdan adreslerini saldırgan kontrollü alternatiflerle değiştirir.
Yeni bir BenEWMILH_CDYD modülü, HackbrowserData projesinin değiştirilmiş bir sürümünü indirerek Firefox tarayıcı verilerini özellikle hedefler.
Bu derlenmiş ikili, şifreleri, tarama geçmişini, kredi kartı bilgilerini ve Firefox kurulumlarından çerezleri çıkarabilir. Çalınan veriler zip dosyalarına sıkıştırılır ve parçalardaki sunucuları komuta ve kontrol etmek için ekstrelenir.
RunMe () işlevi, C2 sunucusundan tüm bilgi çalma işlemlerinden sorumlu bir Mach-O yağ ikili indirmek için ilk başta çağrılır.
NEQ_CDYD_ILVCMWX Dosya Şeytan Modülü, C2 sunucularından ek komut dosyaları alır ve önceki cüzdan veri çalıcılarına benzer şekilde derlenmiş bir Applescript olarak çalışır, ancak daha geniş dosya eksfiltrasyonu için gelişmiş özelliklere sahiptir.
Xmyyeqjx modülü, ~/.root dosyası ve ilişkili PLIST girişleri oluşturarak Launchdaemon tabanlı kalıcılık oluşturur. Bu kalıcılık mekanizması, “com.google” gibi önekleri kullanarak meşru sistem süreçleri olarak maskelenir. PLIST isimleriyle. Modül ayrıca MacOS otomatik yapılandırma güncellemelerini ve hızlı güvenlik yanıt mekanizmalarını devre dışı bırakarak sistemin savunma özelliklerini zayıflatır.
Ek olarak, Jey modülü, gelişmiş şaşkınlıkla GIT tabanlı kalıcılığı korur. Şifreli yüklerin doğrudan birleştirilmesini yürüten önceki varyantların aksine, yeni sürüm, geliştirilmiş gizli için kabuk işlevleri içindeki şifre çözme mantığını kapsüller.
Hafifletme
Güvenlik uzmanları, bu gelişen tehdide karşı birkaç savunma önlemi önermektedir. Kuruluşlar güncellenmiş işletim sistemlerini ve uygulamalarını sürdürmeli, Xcode projelerini harici kaynaklardan dikkatlice incelemeli ve pano verilerini, özellikle kripto para birimi adreslerini taşırken dikkatli olmalıdır.
Microsoft, Microsoft Edge gibi akıllı ekran koruması olan tarayıcıların kullanılmasını, Mac’te uç nokta için Microsoft Defender’ı dağıtmayı ve otomatik örnek gönderme ile bulut tarafından teslim edilen korumayı etkinleştirmenizi önerir.
Bu kampanyayla ilişkili kötü amaçlı alanlara bağlantıları engellemek için ağ koruması etkinleştirilmelidir.
Bu gelişmiş XCSSET varyantının keşfi, kötü amaçlı yazılımların sürekli evrimini ve macOS geliştiricilerine ve daha geniş yazılım tedarik zincirine getirdiği kalıcı tehdidi göstermektedir.
| Gösterge | Tip | Tanım |
| cdntor[.]ru | İhtisas | C2 Sunucusu |
| checkcdn[.]ru | İhtisas | C2 Sunucusu |
| cdcache[.]ru | İhtisas | C2 Sunucusu |
| applecdn[.]ru | İhtisas | C2 Sunucusu |
| Flowcdn[.]ru | İhtisas | C2 Sunucusu |
| elasticdns[.]ru | İhtisas | C2 Sunucusu |
| rublenet[.]ru | İhtisas | C2 Sunucusu |
| figmastarlar[.]ru | İhtisas | C2 Sunucusu |
| bulksek[.]ru | İhtisas | C2 Sunucusu |
| Doyetrix[.]ru | İhtisas | C2 Sunucusu |
| figür[.]ru | İhtisas | C2 Sunucusu |
| Digichat[.]ru | İhtisas | C2 Sunucusu |
| diggimax[.]ru | İhtisas | C2 Sunucusu |
| Cdnroute[.]ru | İhtisas | C2 Sunucusu |
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.