高度なXCSSET macOSマルウェアの更新版が、システムのクリップボードを監視して暗号通貨取引を乗っ取っていると、Microsoftが警告しています。
初めて野生で観測されたのは約5年前で、XCSSETは悪意のあるXcodeプロジェクトを介して拡散し、macOS向けのAppleの統合開発環境を悪用します。
このマルウェアは、さまざまなチャットアプリケーションから情報を盗み、ファイルを盗み、ウェブサイトにコードを注入し、身代金メモを残すように設計されており、これまでに複数回アップデートが行われています。
最新の亜種は、Microsoftによると、新たな永続化メカニズムが追加され、ブラウザの標的化やクリップボードの乗っ取りに関する変更が加えられています。
この脅威は4段階の感染チェーンを採用しており、ブート機能にも変更が加えられ、現在はFirefoxの追加チェックやTelegramの修正チェックが含まれています。
チェーンの第4段階では、マルウェアが実行専用でコンパイルされたAppleScriptを取得し、データ検証、暗号化、復号化、C&C(コマンド&コントロール)サーバーから追加データを取得するための関数を定義しています。
このスクリプトにはクリップボード監視に関連する関数も含まれており、暗号通貨アドレスを識別して、攻撃者が管理するアドレスリストに定義された内容に置き換えることができます。
また、マルウェアはC&Cからファイル流出機能を持つ別のスクリプトを取得し、ユーザーのホームディレクトリにペイロードを含むファイルを作成してLaunchDaemonによる永続化を設定する様子も確認されています。
広告。スクロールして読み続けてください。
また、システム構成を変更して、macOSのセキュリティ構成アップデートやRapid Security Responseメカニズムを無効化するコマンドを実行する様子も確認されています。
XCSSETは偽のシステム設定アプリケーションも作成し、正規のシステム設定アプリケーションが起動されるのを待ってから偽アプリを実行する関数を呼び出し、正規アプリを装うようにしています。
新しいマルウェア亜種には、Firefoxブラウザを標的とした情報窃取モジュールも含まれています。HackBrowserDataオープンソースプロジェクトの改変版で、ブラウザの履歴、クッキー、保存されたパスワードやクレジットカード情報を盗みます。
Microsoftは、発見内容をAppleに報告し、GitHubと協力してマルウェアを配布していた悪意のあるリポジトリを削除しました。
「現時点では、この新しいXCSSET亜種は限定的な攻撃でしか確認されていませんが、この進化する脅威への認識を高めるため、包括的な分析を公開します」と同社は述べています。
関連記事: PyPI、ユーザーに新たなフィッシングキャンペーンを警告
関連記事: macOSユーザーを標的とした大規模情報窃取キャンペーン
関連記事: Microsoft、XCSSET macOSマルウェアの改良を警告
関連記事: 北朝鮮のハッカー、macOSユーザーを標的に
翻訳元: https://www.securityweek.com/new-xcsset-macos-malware-variant-hijacks-cryptocurrency-transactions/
