Обновленный XCSSET: угроза для разработчиков macOS наращивает возможности

Новый вариант XCSSET претерпел ключевые изменения в механизмах целеполагания, перехвата данных из буфера обмена и обеспечения устойчивости. Зловред использует сложные методы шифрования и обфускации, применяет run-only скомпилированные AppleScripts для скрытного выполнения и расширяет возможности по хищению данных, добавляя к списку целей браузер Firefox. Также была внедрена дополнительная техника персистентности через записи в LaunchDaemon.

Особого внимания заслуживает новый модуль, предназначенный для мониторинга буфера обмена. Он загружает конфигурационный файл, содержащий регулярные выражения, соответствующие адресам различных цифровых кошельков. При обнаружении совпадения программа способна подменять содержимое буфера обмена на заранее заданный набор адресов злоумышленников, что представляет прямую угрозу для финансовых операций.

Анализ вредоносной программы выявил четырехстадийную цепочку заражения. Первые три этапа остались без изменений, тогда как четвертая стадия, включающая функцию boot() и загрузку модулей, была существенно доработана. В новой версии добавлены проверки наличия браузера Firefox и изменена логика проверки установленного мессенджера Telegram. Функция boot() теперь ответственна за загрузку и исполнение нескольких новых модулей.

Модуль vexyeqj (ранее известный как seizecj), отвечающий за кражу информации, претерпел изменения: часть команд была закомментирована. Теперь он загружает модуль bnk, который представляет собой run-only скомпилированный AppleScript. Анализ такого кода традиционно сложен, но с помощью инструментов дизассемблирования удалось выяснить его функционал. Модуль включает функции валидации, шифрования, дешифрования и взаимодействия с командным сервером. Ключевой алгоритм использует AES-шифрование с предустановленным ключом для расшифровки конфигурации, получаемой от злоумышленников.

Расшифрованная конфигурация содержит детализированные настройки для атаки. Основная логика модуля bnk включает извлечение серийного номера устройства и имени пользователя, мониторинг буфера обмена и активного приложения. Если активное приложение не находится в черном списке, а содержимое буфера обмена соответствует заданным критериям (длина, шаблоны), данные шифруются и передаются на сервер. Особенно опасна логика подмены: если данные в буфере совпадают с шаблоном кошелька, но не соответствуют адресам злоумышленников, происходит их замена на контролируемый адрес с последующей отправкой лога на сервер.

Еще один новый модуль, iewmilh_cdyd, нацелен на кражу данных из браузера Firefox. Он загружает скомпилированный бинарный файл, который является модифицированной версией открытого проекта HackBrowserData. Этот инструмент способен извлекать пароли, историю посещений, данные кредитных карт и cookies. После сбора информации данные архивируются и частями выгружаются на командный сервер.

Для обеспечения устойчивости в системе используется модуль xmyyeqjx. Он создает скрытый файл в домашней директории пользователя и регистрирует его автозагрузку через LaunchDaemon. Полезная нагрузка выполняет ряд действий, включая отключение критически важных механизмов обновления безопасности macOS, таких как Rapid Security Responses. Для маскировки создается поддельное приложение System Settings.app, которое запускает скрипт, создающий файл LaunchDaemon с именем, маскирующимся под продукт Google, и привилегиями root.

Модуль jey, обеспечивающий персистентность через Git, был усовершенствован в части обфускации: логика дешифрования теперь инкапсулирована в inline-функцию, что затрудняет статический анализ.

Несмотря на то что новая вариация XCSSET пока наблюдается в ограниченных атаках, ее растущая сложность требует повышенного внимания. Microsoft совместно с Apple и GitHub предприняла шаги по удалению зараженных репозиториев. Для защиты рекомендуется всегда использовать актуальные версии ОС и приложений, тщательно проверять Xcode-проекты из внешних источников, проявлять осторожность при работе с буфером обмена и использовать решения вроде Microsoft Defender for Endpoint на macOS, которые детектируют и блокируют данную угрозу. Включение облачной защиты и блокировки нежелательных приложений значительно повышает уровень безопасности.

Domains

• applecdn.ru
• bulksec.ru
• cdcache.ru
• cdnroute.ru
• cdntor.ru
• checkcdn.ru
• diggimax.ru
• digichat.ru
• digitalcdn.ru
• dobecdn.ru
• dobetrix.ru
• elasticdns.ru
• figmacat.ru
• figmastars.ru
• fixmates.ru
• flowcdn.ru
• mdscache.ru
• rublenet.ru
• sigmanow.ru
• trinitysol.ru
• verifysign.ru
• windsecure.ru

SHA256

• 0fbd0e1995472f308cf1ac8229a02c277035404426769fa50947a72c95ad7d31
• 12ea52c4089d100e679a2350f03e598b2f3feebfbbd2ed5631a2a7a20b07e826
• 5a212c5ce1e0f41e721ce0940afb381b694a2e32a6d19c1d2210f703636362df
• f3bc158619b2aad17def966f0ac8dddc2107e4911a7c488d358d906f27ac2a2b