Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mac-Malware XCSSET macOS Malware

XCSSET macOS Malware

Von Mezo in Mac-Malware
Übersetzen Sie in:

Cybersicherheitsforscher haben eine neue, ausgefeiltere Variante der XCSSET-Malware identifiziert, die auf Apple macOS abzielt. Die aktualisierte Version ist derzeit nur in begrenzten Angriffen zu beobachten, weist jedoch deutliche Verbesserungen in den Bereichen Tarnung, Persistenz und Datenexfiltration auf.

Was macht diese Variante anders?

Die neueste XCSSET-Version führt mehrere wichtige Änderungen ein:

Browser- und Zwischenablage-Targeting : Es überwacht jetzt den Inhalt der Zwischenablage auf Adressen von Kryptowährungs-Wallets und ersetzt diese durch vom Angreifer kontrollierte Adressen, um Transaktionen zu kapern.

Erweiterter Datendiebstahl : Über Safari hinaus kann die Malware jetzt auch Daten aus Mozilla Firefox extrahieren.

Tarnung und Persistenz : Durch die Verwendung von nur ausführbaren kompilierten AppleScripts und LaunchDaemon-Einträgen ist es weiterhin schwierig, die Persistenz auf infizierten Systemen zu erkennen und aufrechtzuerhalten.

Verbesserte Infektionskette : Änderungen an der vierten Phase des Angriffs beinhalten das Abrufen eines AppleScript der letzten Phase, das für die Erfassung von Systeminformationen und die Modulausführung über eine Boot()-Funktion verantwortlich ist.

Wie XCSSET macOS infiziert

XCSSET zielt in erster Linie auf Xcode-Projekte von Softwareentwicklern ab. Beim Erstellen dieser Projekte aktiviert und führt die Malware ihre schädlichen Module aus. Obwohl die genaue Verbreitungsmethode unklar ist, wird vermutet, dass gemeinsam genutzte oder geklonte Xcode-Projekte ein wichtiger Vektor sind.

Anfang des Jahres stellten Forscher Verbesserungen fest, darunter eine bessere Fehlerbehandlung und die Implementierung von drei Persistenztechniken, die darauf ausgelegt sind, vertrauliche Daten aus kompromittierten Systemen abzuschöpfen.

Neue und aktualisierte Module

Die neueste Variante verfügt über mehrere neue oder geänderte Module, die jeweils spezifische Schadfunktionen ausführen:

vexyeqj (früher seizecj)

  • Lädt mithilfe von Osascript ein Modul namens bnk herunter.
  • Behandelt Datenvalidierung, Verschlüsselung/Entschlüsselung, C2-Kommunikation und Protokollierung.
  • Enthält Funktionen zum Entführen der Zwischenablage.

neq_cdyd_ilvcmwx

  • Exfiltriert Dateien auf den C2-Server, ähnlich dem älteren Modul txzx_vostfdi.

xmyyeqjx

  • Stellt eine auf LaunchDaemon basierende Persistenz her.

jey

  • Implementiert Git-basierte Persistenz.

iewmilh_cdyd

  • Stiehlt Firefox-Browserdaten mithilfe eines modifizierten HackBrowserData-Tools.

Zu den zusätzlichen Updates gehören Prüfungen für die Telegram-Messaging-App und Logikänderungen in verschiedenen Modulen.

Schadensbegrenzungs- und Sicherheitsmaßnahmen

Um das von XCSSET ausgehende Risiko zu verringern, sollten macOS-Benutzer:

  • Halten Sie ihre Systeme und Software auf dem neuesten Stand.
  • Überprüfen Sie Xcode-Projekte, die Sie aus Repositories oder externen Quellen erhalten haben, sorgfältig.
  • Seien Sie vorsichtig beim Kopieren oder Einfügen vertraulicher Informationen, insbesondere von Wallet-Adressen für Kryptowährungen.

Dieses strukturierte Format hebt die Entwicklung der Malware, technische Details und praktische Ratschläge zur Schadensbegrenzung hervor und bewahrt dabei alle wesentlichen Informationen.

Im Trend

Am häufigsten gesehen

Wird geladen...