XCSSET macOSマルウェア
サイバーセキュリティ研究者は、Apple macOSを標的とするXCSSETマルウェアの新たな、より洗練された亜種を特定しました。現在、限定的な攻撃で確認されていますが、この更新版はステルス性、持続性、そしてデータ窃取において大幅な強化が見られます。
目次
このバリアントは何が違うのでしょうか?
最新の XCSSET バージョンでは、いくつかの重要な変更が導入されています。
ブラウザとクリップボードのターゲット設定: 仮想通貨ウォレットのアドレスを探すためにクリップボードの内容を監視し、攻撃者が管理するアドレスに置き換えてトランザクションを乗っ取ります。
データ盗難の拡大: マルウェアは Safari だけでなく、Mozilla Firefox からもデータを盗み出すことができるようになりました。
ステルスと持続性: 実行専用のコンパイル済み AppleScript と LaunchDaemon エントリを使用すると、感染したシステムでの検出と持続性の維持が困難になります。
感染チェーンの改善: 攻撃の第 4 段階への変更には、boot() 関数を介してシステム情報の収集とモジュール実行を担当する最終段階の AppleScript の取得が含まれます。
XCSSETがmacOSに感染する方法
XCSSETは主にソフトウェア開発者が使用するXcodeプロジェクトを標的とします。これらのプロジェクトがビルドされると、マルウェアは起動し、悪意のあるモジュールを実行します。正確な拡散方法は不明ですが、共有または複製されたXcodeプロジェクトが主要な経路となっていると推測されています。
今年初め、研究者らは、エラー処理の改善や、侵害を受けたシステムから機密データを吸い上げるために設計された 3 つの永続化手法の実装などの機能強化に注目していました。
新規および更新されたモジュール
最新の亜種には、それぞれ特定の悪意のある機能を実行する、いくつかの新規または改変されたモジュールが搭載されています。
vexyeqj(旧 seizecj)
- osascript を使用して bnk という名前のモジュールをダウンロードします。
- データの検証、暗号化/復号化、C2 通信、およびログ記録を処理します。
- クリップボードハイジャック機能を組み込んでいます。
neq_cdyd_ilvcmwx
- 古い txzx_vostfdi モジュールと同様に、C2 サーバーにファイルを流出させます。
xmyyeqjx
- LaunchDaemon ベースの永続性を確立します。
ジェイ
- Git ベースの永続性を実装します。
iewmilh_cdyd
- 改変された HackBrowserData ツールを使用して Firefox ブラウザ データを盗みます。
追加のアップデートには、Telegram メッセージング アプリのチェックと、さまざまなモジュールにわたるロジックの変更が含まれます。
緩和策と安全対策
XCSSET によってもたらされるリスクを軽減するには、macOS ユーザーは次のことを行う必要があります。
- システムとソフトウェアを常に最新の状態に保ちます。
- リポジトリまたは外部ソースから取得した Xcode プロジェクトを慎重に検査します。
- 機密情報、特に暗号通貨ウォレットのアドレスをコピーまたは貼り付ける場合は注意してください。
この構造化されたフォーマットは、マルウェアの進化、技術的な詳細、および実用的な軽減アドバイスを強調しながら、すべての重要な情報をそのまま維持します。
