Срочно. Вредоносное ПО из проектов Xcode нацелено на Mac от Apple на базе M1

Вредоносное ПО из проектов Xcode нацелено на Mac от Apple на базе M1. Фото: Pixabay

Зловред XCSSET оказался в центре внимания в августе 2020 года после того, как было обнаружено, что он распространяется через модифицированные проекты Xcode IDE. Вредоносная программа переупаковывает модули полезной нагрузки для имитации законных приложений Mac, которые в конечном итоге несут ответственность за заражение локальных проектов Xcode и внедрение основной полезной нагрузки для выполнения при сборке скомпрометированного проекта, пишет The Hacker News.

Модули XCSSET имеют возможность красть учётные данные, делать снимки экрана, внедрять вредоносный JavaScript на веб-сайты, красть пользовательские данные из различных приложений и даже шифровать файлы с целью получения выкупа.

В марте 2021 года исследователи «Лаборатории Касперского» обнаружили образцы XCSSET, скомпилированные для новых чипов Apple M1, предположив, что кампания по вредоносному ПО что злоумышленники активно адаптируют свои исполняемые файлы и переносят их для работы на новых компьютерах Apple Silicon Mac.

Последнее исследование Trend Micro показывает, что XCSSET продолжает злоупотреблять разрабатываемой версией браузера Safari, чтобы внедрить бэкдоры Ява Скрипт на веб-сайты с помощью атак универсального межсайтового скриптинга (UXSS).

«Он размещает пакеты обновлений Safari на [командном] сервере, а затем загружает и устанавливает пакеты для версии ОС пользователя», — заявили исследователи Trend Micro в опубликованном в пятницу анализе. «Чтобы адаптироваться к недавно выпущенному Big Sur, были добавлены новые пакеты для Safari 14».

Помимо троянизации Safari для кражи данных, вредоносная программа также известна тем, что использует режим удалённой отладки в других браузерах, таких как Google Chrome, Brave, Microsoft Edge, Mozilla Firefox, Opera, браузер Qihoo 360 и браузер Яндекс для выполнения атак UXSS.

Более того, теперь вредоносная программа даже пытается украсть информацию учётной записи с нескольких веб-сайтов, включая платформы для торговли криптовалютой Huobi, Binance, NNCall.net, Envato и 163.com, с возможностью замены адреса в кошельке криптовалюты пользователя адресами, находящимися под контроль злоумышленника.

Способ распространения XCSSET через поддельные проекты Xcode представляет собой серьёзную угрозу, поскольку затронутые разработчики, которые невольно делятся своей работой на GitHub, могут передать вредоносное ПО своим пользователям в виде скомпрометированных проектов Xcode. Это приведёт к «атаке, подобной цепочке поставок. для пользователей, которые полагаются на эти репозитории как на зависимости в своих собственных проектах».