Biến thể XCSSET mới trên macOS nhắm mục tiêu Firefox với chức năng Clipper và mô-đun duy trì quyền truy cập

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phiên bản cập nhật của phần mềm độc hại Apple macOS có tên XCSSET đã được quan sát thấy trong các cuộc tấn công hạn chế.

"Biến thể XCSSET mới này mang đến những thay đổi quan trọng liên quan đến việc nhắm mục tiêu trình duyệt, chiếm quyền điều khiển clipboard và các cơ chế persistence," nhóm Microsoft Threat Intelligence cho biết trong một báo cáo hôm thứ Năm.

"Nó sử dụng các kỹ thuật encryption và obfuscation tinh vi, sử dụng AppleScripts được biên dịch chỉ để chạy (run-only) nhằm thực thi một cách lén lút, đồng thời mở rộng khả năng data exfiltration để bao gồm dữ liệu trình duyệt Firefox. Nó cũng bổ sung một cơ chế persistence khác thông qua các mục LaunchDaemon."

XCSSET là tên được gán cho một phần mềm độc hại mô-đun tinh vi được thiết kế để lây nhiễm các dự án Xcode được các nhà phát triển phần mềm sử dụng và giải phóng các khả năng độc hại của nó khi dự án đang được xây dựng. Cách thức phân phối chính xác của phần mềm độc hại vẫn chưa rõ ràng, nhưng người ta nghi ngờ rằng sự lây lan dựa vào việc các tệp dự án Xcode được chia sẻ giữa các nhà phát triển xây dựng ứng dụng cho macOS.

Đầu tháng 3 này, Microsoft đã phát hiện một số cải tiến đối với phần mềm độc hại, nêu bật khả năng xử lý lỗi được cải thiện và việc sử dụng ba kỹ thuật persistence khác nhau để lấy cắp dữ liệu nhạy cảm từ các máy chủ bị xâm nhập.

Biến thể XCSSET mới nhất đã được phát hiện tích hợp một sub-module clipper giám sát nội dung clipboard để tìm các mẫu regular expression (hay còn gọi là regex) cụ thể khớp với các ví cryptocurrency khác nhau. Trong trường hợp khớp, phần mềm độc hại sẽ thay thế địa chỉ ví trong clipboard bằng địa chỉ do kẻ tấn công kiểm soát để chuyển hướng các giao dịch.

Nhà sản xuất Windows cũng lưu ý rằng phiên bản mới này giới thiệu những thay đổi đối với giai đoạn thứ tư của chuỗi lây nhiễm, đặc biệt là nơi một ứng dụng AppleScript được sử dụng để chạy một lệnh shell nhằm tìm nạp AppleScript giai đoạn cuối chịu trách nhiệm thu thập thông tin hệ thống và khởi chạy các sub-module khác nhau bằng cách sử dụng chức năng boot().

Đáng chú ý, các sửa đổi bao gồm các kiểm tra bổ sung cho trình duyệt Mozilla Firefox và một logic đã thay đổi để xác định sự hiện diện của ứng dụng nhắn tin Telegram. Cũng được quan sát thấy là những thay đổi đối với các module khác nhau, cũng như các module mới không tồn tại trong các phiên bản trước -

• vexyeqj, module thông tin trước đây được gọi là seizecj, và tải xuống một module có tên bnk được chạy bằng osascript. Script này định nghĩa các chức năng để data validation, encryption, decryption, tìm nạp dữ liệu bổ sung từ máy chủ command-and-control (C2) và logging. Nó cũng bao gồm chức năng clipper.
• neq_cdyd_ilvcmwx, một module tương tự txzx_vostfdi để exfiltrate các tệp đến máy chủ C2
• xmyyeqjx, một module để thiết lập persistence dựa trên LaunchDaemon
• jey, một module để thiết lập persistence dựa trên Git
• iewmilh_cdyd, một module để đánh cắp dữ liệu từ Firefox bằng cách sử dụng phiên bản sửa đổi của một công cụ có sẵn công khai có tên HackBrowserData

Để giảm thiểu mối đe dọa do XCSSET gây ra, người dùng nên đảm bảo rằng họ giữ hệ thống của mình được cập nhật, kiểm tra các dự án Xcode được tải xuống hoặc sao chép từ kho lưu trữ hoặc các nguồn khác và thận trọng khi sao chép và dán dữ liệu nhạy cảm từ clipboard.