shadowrocket上不到
XCSSET套件的恶意软件也劫持浏览器,有一个Ransomware模块和使用一对零天的漏洞。
针对Mac用户的一项运动正在推广XCSSET恶意软件套件,它能够劫持Safari网络浏览器,并注入各种JavaScript有效负载,这些负载可以窃取密码、金融数据和个人信息,部署赎金等。
研究人员指出,感染正在通过Xcode开发者项目传播;据趋势微(Trend Micro)称,这场运动背后的网络罪犯正在向他们注入恶意软件。Xcode由苹果公司开发的一套免费、开放的软件开发工具组成,用于为MacOS、IOS、iPadOS、Watch和tvOS创建软件。因此,构建在项目之上的任何应用程序都会自动包含恶意代码。
最初发现这种威胁是因为“我们了解到开发人员的Xcode项目总体上包含了源恶意软件--这导致了一个恶意负载的兔子洞, 当受影响的开发人员通过gitHub等平台共享他们的项目时,威胁就会升级,导致对依赖于这些存储库的用户进行类似供应链的攻击。我们还在其他来源(包括VirusTotal和Gizub)确认了这一威胁,这表明这一威胁是在逃的。“
隐藏在项目中的初始有效载荷以Mach-O可执行文件的形式出现。研究人员能够追踪受感染项目的Xcode工作数据文件,并发现一个隐藏文件夹中包含Mach-O,位于其中一个.xcodeproj文件中。
分析指出,执行时,Mach-O恶意软件连接到硬编码的命令和控制(C2)服务器地址,并开始以每分钟一次的速度获取当前桌面的屏幕截图;一旦新的屏幕截图被截取,前一个屏幕截图就会被删除。
然而,Mach-O的主要目的是下载和运行第二阶段的有效负载,这是一个名为main.scpt的AppleScript文件,它执行了大多数恶意行为。
研究指出,当执行“主”有效载荷时,它首先获取受感染用户的基本系统信息,然后在存在时杀死某些正在运行的进程,包括各种浏览器(Opera、Edgeshadowrocket上不到、Firefox、Yandex和Brave)以及“e”、“com.oracle.java”等。
然后,有效载荷进入实际业务,获取恶意代码并将其编译到Mac应用程序包中。包名映射到已安装的、众所周知的应用程序名,如Safari。研究人员详细说明,它随后取代了应用程序对应的图标文件和“Info.plist”,以使这个假应用看起来像一个真正的普通应用程序--因此,用户去打开普通应用程序,而恶意应用却会打开。
根据分析,一旦打开,这个假冒的应用程序包的恶意功能就会被执行,其形式是部署一系列用于不同目标的模块:接管浏览器;从Evernote、Skype和Telegram等已安装的应用程序中窃取信息;以及传播到其他主机。它还拥有可以部署的Ransomware模块和数十种其他功能。以下是部分清单:
该恶意软件还使用数据仓库中的零天漏洞,允许它绕过MacOS的系统完整性保护(SIP)功能,以窃取Safari cookie;以及一个Safari for WebKit Development 0-day,它允许通用的跨站点脚本(Uxss),这为将JavaScript注入到Safari和其他浏览器的开发版本中扫清了道路,而不必担心沙箱问题。
在后一种情况下,恶意软件将恶意JavaScript代码注入当前浏览器页面。然后,攻击者可以操纵浏览器结果;操纵和替换找到的比特币和其他加密货币地址;用一个旧版本软件包的链接替换Chrome下载链接;窃取谷歌(Google)、Yandex、Amocrm、SIPMarket、PayPal和Apple ID的凭据;窃取在Apple Store链接的信用卡数据;防止用户更改密码,并记录新密码;以及截取某些被访问网站的截图。
Threatpost已经与趋势微联系,以了解零日是否已经被报道,以及是否有更多的细节可用--在分析中提供的细节寥寥无几。
该公司说,它能够从C2中收集到受害者IP地址的清单;该名单包括380个受感染的目标;大多数是在中国和印度。趋势微指出,它观察到的XCSSET恶意软件影响到目前为止的两个Xcode项目,但警告说,这一运动是很有可能蔓延。
趋势微公司总结说:“随着OSX开发前景的迅速增长和改善--例如,最新的Big Sur更新消息证明了这一点--恶意软件的参与者现在也同时利用有抱负的和经验丰富的开发人员为自己谋利,这一点也就不足为奇了。”“项目所有者应该继续三次检查他们的项目的完整性,以明确消除不必要的问题,如恶意软件感染在未来。”