Вредоносное ПО XCSSET похищает учетные данные, делает снимки экрана, внедряет вредоносный JavaScript-код и пр.
Вредоносная кампания против разработчиков ПО, использующих среду разработки Xcode, теперь нацелена на новые чипы Apple M1 и позволяет похищать информацию из криптовалютных приложений.
О вредоносном ПО XCSSET впервые стало известно в августе 2020 года. Вредонос распространялся через модифицированные проекты Xcode IDE, которые после сборки выполняли полезную нагрузку. XCSSET заново упаковывал модули полезной нагрузки, имитировавшие легитимные приложения для Mac, которые в конечном итоге заражали локальные проекты Xcode и внедряли основную полезную нагрузку для выполнения при сборке скомпрометированного проекта.
Модули XCSSET могут похищать учетные данные, делать снимки экрана, внедрять вредоносный JavaScript-код на web-сайты, похищать пользовательские данные из различных приложений и даже шифровать файлы с целью получения выкупа.
В марте 2021 года специалисты «Лаборатории Касперского» обнаружили образцы XCSSET, скомпилированные под новые чипы M1 от компании Apple. Это указывает на то, что вредоносная кампания не только продолжается, но и активно адаптируется под новые устройства.
Как показывают результаты последнего исследования специалистов Trend Micro, XCSSET продолжает злоупотреблять версией браузера Safari для разработки с целью внедрения на сайты JavaScript-бэкдора с помощью UXSS-атак. Вредонос размещает пакеты обновлений Safari на C&C-сервере, а затем загружает и устанавливает их в соответствии с версией ОС жертвы. Злоумышленники адаптировали вредоносную кампанию под macOS Big Sur, добавив пакет обновлений Safari 14.
Вдобавок к похищающей данные троянизированной версии Safari вредонос также использует режим отладки в других браузерах, таких как Google Chrome, Brave, Microsoft Edge, Mozilla Firefox, Opera, Qihoo 360 Browser и «Яндекс.Браузер», для осуществления UXSS-атак.
Более того, теперь вредоносное ПО пытается похитить информацию учетных записей с нескольких сайтов, включая платформы для торговли криптовалютой Huobi, Binance, NNCall.net, Envato и 163.com, заменяя адреса криптовалютных кошельков пользователя адресами, находящимися под контролем злоумышленников.
Распространение XCSSET через скомпрометированные проекты Xcode представляют серьезную угрозу. Затронутые разработчики, размещающие свои работы на GitHub, могут непреднамеренно передавать вредоносное ПО своим пользователям через скомпрометированные проекты Xcode. Таким образом, злоумышленники могут осуществлять атаку на цепочку поставок.
Одно найти легче, чем другое. Спойлер: это не темная материя