- Microsoftが限定的な標的型攻撃で使われたXCSSET macOSバックドアのアップグレード版を検知
- 新バリアントはFirefoxのデータを盗み、クリップボードを乗っ取って暗号資産取引をリダイレクト
- AppleとGitHubがキャンペーンに関連する悪意あるリポジトリを削除中
Microsoftは、攻撃者にさらなる機能を提供することで以前のバージョンを強化した、既知のmacOSバックドアの新たなバリアントについて警告しています。
最新のレポートで、Microsoft Threat Intelligenceは「限定的な攻撃」でアップグレードされたXCSSET macOSバックドアが使われていることを確認したと主張しています。
これらの改ざんされたプロジェクトを知らずに利用した開発者がアプリをビルド・実行すると、マルウェアが発動します。システム内に侵入すると、XCSSETは静かに自身をインストールし、ブラウザのクッキーや認証情報、メッセージなどの機密データを盗み始めます。また、Safariや他のブラウザを乗っ取り、悪意のあるコードを注入してセキュリティ保護を回避します。
Firefoxとクリップボードを標的に
XCSSETは2020年に初めて発見され、主にmacOS開発者が使用するXcode開発プロジェクトを感染させることで知られています。
Xcodeは、Appleが公式に提供する、macOS、iOS、iPadOS、watchOS、tvOS向けアプリ開発用の統合開発環境(IDE)です。
それから5年後、MicrosoftはXCSSETの新バージョンを発見し、いくつかの注目すべき変更点がありました。
まず、オープンソースのHackBrowserDataツールの改変版をインストールすることで、Firefoxブラウザのデータも盗めるようになりました。
次に、クリップボードを乗っ取るコンポーネントが追加されており、これは暗号資産を盗もうとする犯罪者によく見られる手口です。
マルウェアがクリップボード内の暗号資産アドレスを検知すると、攻撃者のものに置き換え、被害者が送金先アドレスをコピー&ペーストしようとした際、実際には攻撃者に送金してしまうようにします。
最後に、このマルウェアは新たな永続化手法を備えており、感染したデバイス上でより長く隠れ続けることができます。
良いニュースとしては、Microsoftが確認したのは限定的な攻撃のみで、まだ大きな被害は出ていないという点です。すでにAppleとGitHubにも通知済みで、両社は現在、キャンペーンに関連するリポジトリの削除作業を進めています。
