SecAtor

Microsoft обнаружила новый вариант известного вредоносного ПО для macOS от Apple под названием XCSSET в ходе целевых атак.

Это первый известный вариант с 2022 года, новейшее вредоносное ПО XCSSET отличается улучшенными методами обфускации, обновленными механизмами сохранения и новыми стратегиями заражения.

Улучшенные функции дополняют ранее известные возможности этого семейства вредоносных ПО, такие как нацеливание на цифровые кошельки, сбор данных из приложения Notes и кража системной информации и файлов.

XCSSET - это сложная модульная вредоносная ПО для macOS, которая, как известно, атакует пользователей, заражая Apple Xcode.

Впервые она была задокументирована исследователями Trend Micro в августе 2020 года.

Было обнаружено, что последующие версии вредоносного ПО адаптируются для компрометации новых версий macOS, а также чипсетов Apple M1.

В середине 2021 года XCSSET был обновлен и реализовал функционал извлечения данных из различных приложений, включая Google Chrome, Telegram, Evernote, Opera, Skype, WeChat и других приложений Apple, таких как «Контакты» и «Заметки».

В отчете Jamf говорилось о способности вредоносного ПО использовать CVE-2021-30713, ошибку фреймворка Transparency, Consent, and Control (TCC), в качестве 0-day для создания скринов экрана рабочего стола жертвы без необходимости получения дополнительных разрешений.

Затем, год спустя, был обновлен, добавляя поддержку macOS Monterey.

На момент обнаружения происхождение вредоносного ПО оставалось неизвестным.

Последние результаты исследований Microsoft знаменуют собой первый серьезный пересмотр с 2022 года, в котором используются улучшенные методы обфускации и механизмы сохранения.

Другой новый способ настройки сохранения с помощью XCSSET заключается в загрузке подписанной утилиты dockutil с С2.

Новый вариант программы создает поддельное приложение Launchpad и заменяет легитимную запись пути Launchpad в доке поддельной.

Это гарантирует, что каждый раз, когда Launchpad запускается из дока, выполняются как легитимный Launchpad, так и вредоносная полезная нагрузка.

The Hacker News

Apple‌ Issues Patches to Combat Ongoing 0-Day Attacks on macOS, tvOS

Apple has released security updates for iOS, macOS, tvOS, watchOS, and Safari web browser to fix multiple vulnerabilities.

www.group-telegram.com/in/true_secator.com/6749

6.5K viewsFeb 17 at 20:38

Microsoft обнаружила новый вариант известного вредоносного ПО для macOS от Apple под названием XCSSET в ходе целевых атак.

Это первый известный вариант с 2022 года, новейшее вредоносное ПО XCSSET отличается улучшенными методами обфускации, обновленными механизмами сохранения и новыми стратегиями заражения.

Улучшенные функции дополняют ранее известные возможности этого семейства вредоносных ПО, такие как нацеливание на цифровые кошельки, сбор данных из приложения Notes и кража системной информации и файлов.

XCSSET - это сложная модульная вредоносная ПО для macOS, которая, как известно, атакует пользователей, заражая Apple Xcode.

Впервые она была задокументирована исследователями Trend Micro в августе 2020 года.

Было обнаружено, что последующие версии вредоносного ПО адаптируются для компрометации новых версий macOS, а также чипсетов Apple M1.

В середине 2021 года XCSSET был обновлен и реализовал функционал извлечения данных из различных приложений, включая Google Chrome, Telegram, Evernote, Opera, Skype, WeChat и других приложений Apple, таких как «Контакты» и «Заметки».

В отчете Jamf говорилось о способности вредоносного ПО использовать CVE-2021-30713, ошибку фреймворка Transparency, Consent, and Control (TCC), в качестве 0-day для создания скринов экрана рабочего стола жертвы без необходимости получения дополнительных разрешений.

Затем, год спустя, был обновлен, добавляя поддержку macOS Monterey.

На момент обнаружения происхождение вредоносного ПО оставалось неизвестным.

Последние результаты исследований Microsoft знаменуют собой первый серьезный пересмотр с 2022 года, в котором используются улучшенные методы обфускации и механизмы сохранения.

Другой новый способ настройки сохранения с помощью XCSSET заключается в загрузке подписанной утилиты dockutil с С2.

Новый вариант программы создает поддельное приложение Launchpad и заменяет легитимную запись пути Launchpad в доке поддельной.

Это гарантирует, что каждый раз, когда Launchpad запускается из дока, выполняются как легитимный Launchpad, так и вредоносная полезная нагрузка.

BY SecAtor