Кампанія зловмисного програмного забезпечення для Mac, розрахована на розробників, що працюють з середовищем Xcode, була перероблена, щоб додати підтримку нових процесорів Apple M1 та розширити її функції для викрадення конфіденційної інформації з програм для майнінгу криптовалют.

“Шкідник” XCSSET потрапив у центр уваги у серпні 2020 року, після того, як виявили, що він поширюється за допомогою модифікованих проектів Xcode IDE, які були налаштовані на виконання корисного навантаження. Шкідливе програмне забезпечення перепаковує модулі корисного навантаження для імітації законних програм для Mac, які в результаті відповідають за зараження локальних проектів Xcode та впорскування основного корисного навантаження для виконання під час створення компрометованого проекту, пише TheHackerNews.

Модулі XCSSET мають можливість викрадати облікові дані, робити знімки екрана, вводити шкідливий JavaScript на веб-сайти, викрадати дані користувачів з різних програм і навіть шифрувати файли для  вимагання викупу.

 

Потім у березні 2021 року було відкрито зразки XCSSET, скомпільовані для нових чипів Apple M1. Це означало, що кампанія зловмисного програмного забезпечення не тільки триває досі, але і те, що зловмисники активно адаптують свої виконувані файли та переносять їх для запуску на нових Apple Silicon Macs. Останнє дослідження Trend Micro показує, що XCSSET продовжує використовувати розробницьку версію браузера Safari, щоб розміщувати шкідливий код JavaScript у фоновому режимі на веб-сайтах за допомогою атак UXSS (Universal Cross-Site Scripting).

“Тут розміщуються пакети оновлень Safari на сервері [command-and-control], а потім завантажуються та встановлюються пакети для версії ОС користувача, – зазначили дослідники Trend Micro в аналізі, опублікованому минулої п’ятниці. – Щоб адаптуватися до нещодавно випущеного оновлення Big Sur, були додані нові пакети для” Safari 14″.

Окрім “троянізації” Safari для проникнення, зловмисне програмне забезпечення також відоме тим, що використовує режим віддаленого налаштування для запуску в інших браузерах, таких як Google Chrome, Brave, Microsoft Edge, Mozilla Firefox, Opera, Qihoo 360 Browser і Yandex Browser для здійснення атак UXSS. .

Зараз шкідливе програмне забезпечення навіть намагається викрасти інформацію про акаунт з кількох веб-сайтів, зокрема платформ для торгівлі криптовалютами Huobi, Binance, NNCall.net, Envato та 163.com, з можливістю замінити адресу в криптовалютному гаманці користувача на адресу, що перебуває під контролем зловмисника.

Режим розповсюдження XCSSET через заражені проекти Xcode представляє серйозну загрозу, оскільки постраждалі розробники, які мимоволі діляться своєю роботою на GitHub, можуть передавати шкідливе програмне забезпечення своїм користувачам у вигляді скомпрометованих проектів Xcode, що призводить до “атаки, схожої на атаку на ланцюг поставок”. для користувачів, які покладаються на ці сховища  у своїх власних проектах “.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ

Онлайн-шопінг у соцмережах: як не бути ошуканим?

Як таємно спілкуватися у месенджері Telegram на iOS та Android? ІНСТРУКЦІЯ

Як правильно вибрати ноутбук? ПОРАДИ

Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ

Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.

Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).

Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.

Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої ​​кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.