サイバーニュース.jp

世界のサイバーなニュースを配信

新XCSSETマルウェア亜種がmacOSアプリ開発者を標的に

カテゴリ:

, , , , , , , , ,

概要

サイバーセキュリティ研究者たちは、macOS開発者を標的としたXCSSETマルウェアの高度な亜種を発見しました。この新たな脅威は、感染したXcodeプロジェクトを通じて拡散し、洗練されたクリップボードハイジャック機能と強化されたデータ流出能力を備えています。

Microsoft Threat Intelligenceは、以前の分析で詳述されたもの以上の更新と新モジュールを導入した、別のXCSSET亜種を特定しました。XCSSETマルウェアは、ソフトウェア開発者が使用するXcodeプロジェクトに感染するように設計されており、Xcodeプロジェクトがビルドされる際に実行されます。この感染および伝播モードは、AppleまたはmacOS関連アプリケーションを構築する開発者の間でプロジェクトファイルが共有されることを利用しています。

XCSSETマルウェアの進化

この新しいXCSSET亜種は、ブラウザのターゲティング、クリップボードハイジャック、および永続化メカニズムに関して重要な変更をもたらしています。洗練された暗号化および難読化技術を採用し、ステルス実行のために実行専用にコンパイルされたAppleScriptを使用し、Firefoxブラウザデータを含むデータ流出能力を拡張しています。

マルウェアはまた、LaunchDaemonエントリを介して別の永続化メカニズムを追加しており、検出と削除をより困難にしています。最も懸念される追加は、クリップボードを継続的に監視するように設計されたサブモジュールです。このモジュールは、さまざまなデジタルウォレットに関連するアドレス正規表現パターンを含むダウンロードされた設定ファイルを参照します。パターンが検出されると、XCSSETはクリップボードの内容を独自の定義済みウォレットアドレスセットに置き換え、仮想通貨取引を効果的にハイジャックすることができます。

技術的分析:新モジュール

最新のXCSSET亜種は4段階の感染チェーンに従い、第4段階でいくつかの新しい悪意のあるモジュールを導入しています。

  • vexyeqj情報窃取モジュール: 「bnk」と呼ばれる実行専用にコンパイルされたAppleScriptをダウンロードして実行し、洗練されたクリップボード監視と仮想通貨ウォレットのハイジャックを実行します。このモジュールは、ハードコードされたキー(27860c1670a8d2f3de3bbc74cd754121)を使用したAES暗号化で、コマンド&コントロールサーバーから受信した設定データを復号します。
  • iewmilh_cdydモジュール: Firefoxブラウザデータを具体的に標的とし、HackBrowserDataプロジェクトの改変版をダウンロードします。このコンパイルされたバイナリは、Firefoxのインストールからパスワード、閲覧履歴、クレジットカード情報、およびCookieを抽出できます。盗まれたデータはZIPファイルに圧縮され、チャンクでコマンド&コントロールサーバーに流出されます。
  • neq_cdyd_ilvcmwxファイル窃取モジュール: C2サーバーから追加のスクリプトを取得し、以前のウォレットデータ窃取ツールと同様にコンパイルされたAppleScriptとして動作しますが、より広範なファイル流出のための強化された機能を備えています。
  • xmyyeqjxモジュール: ~/.rootファイルと関連するplistエントリを作成することで、LaunchDaemonベースの永続化を確立します。この永続化メカニズムは、「com.google.」のようなプレフィックスを使用して、正当なシステムプロセスを装います。また、macOSの自動設定更新と迅速なセキュリティ応答メカニズムを無効にし、システムの防御能力を弱めます。
  • jeyモジュール: 難読化を改善したGitベースの永続化を維持します。以前の亜種が暗号化されたペイロードの直接連結を実行していたのとは異なり、新しいバージョンはシェル関数内に復号ロジックをカプセル化し、ステルス性を高めています。

推奨される対策

セキュリティ専門家は、この進化する脅威に対していくつかの防御策を推奨しています。

  • 組織は、オペレーティングシステムとアプリケーションを常に最新の状態に保つ必要があります。
  • 外部ソースからのXcodeプロジェクトを慎重に検査し、特に仮想通貨アドレスなどのクリップボードデータを扱う際には注意を払う必要があります。
  • Microsoftは、Microsoft EdgeのようなSmartScreen保護を備えたブラウザの使用、MacへのMicrosoft Defender for Endpointの展開、および自動サンプル提出によるクラウド提供保護の有効化を推奨しています。
  • このキャンペーンに関連する悪意のあるドメインへの接続をブロックするために、ネットワーク保護を有効にする必要があります。

この強化されたXCSSET亜種の発見は、マルウェアの継続的な進化と、macOS開発者およびより広範なソフトウェアサプライチェーンに対する永続的な脅威を示しています。

侵害の痕跡 (IoCs)

  • cdntor[.]ru (C2サーバー)
  • checkcdn[.]ru (C2サーバー)
  • cdcache[.]ru (C2サーバー)
  • applecdn[.]ru (C2サーバー)
  • flowcdn[.]ru (C2サーバー)
  • elasticdns[.]ru (C2サーバー)
  • rublenet[.]ru (C2サーバー)
  • figmastars[.]ru (C2サーバー)
  • bulksec[.]ru (C2サーバー)
  • dobetrix[.]ru (C2サーバー)
  • figmacat[.]ru (C2サーバー)
  • digichat[.]ru (C2サーバー)
  • diggimax[.]ru (C2サーバー)
  • cdnroute[.]ru (C2サーバー)

元記事: https://gbhackers.com/new-xcsset-malware-variant-targets-macos-app-developers/

投稿をさらに読み込む