研究人員分析了XCSSET惡意軟件攻擊最新macOS 11（Big Sur）系統(tǒng)的特征恬砂。之后，XCSSET惡意軟件攻擊活動又向其工具集中增加了一些新的特征官研。在其最新的攻擊活動中秽澳，研究人員發(fā)現(xiàn)了XCSSET從不同APP中竊取信息的機制。

XCSSET惡意軟件如何竊取信息戏羽？

從最初的XCSSET版本開始担神，研究人員就發(fā)現(xiàn)惡意軟件會從不同的APP中收集數(shù)據(jù)，并發(fā)送回其C2服務(wù)器始花。但是研究人員并不知道攻擊者如何使用這些數(shù)據(jù)妄讯。研究人員最近發(fā)現(xiàn)了XCSSET用來竊取數(shù)據(jù)的工作機制孩锡，并發(fā)現(xiàn)其中含有一些可以用于其他目的的敏感信息。

以惡意AppleScript文件“telegram.applescript”為例亥贸，該文件名中可以看出telegram就是目標APP躬窜。其主邏輯是壓縮文件夾“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”到ZIP文件中，然后上傳該文件到其C2服務(wù)器炕置。

圖 1. telegram.applescript代碼

為找出收集該文件夾的目的荣挨，研究人員使用2個Mac機器來執(zhí)行簡單的測試：

?在測試機器A和機器B上都按照telegram應用

?在機器A上，登入有效的telegram賬戶朴摊。在機器B上不做任何操作默垄。

?將機器A的“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”文件夾復制到機器B，并替換現(xiàn)有文件夾甚纲。

?在機器B上運行telegram口锭。完成后，就登入了與機器A相同的賬戶介杆。

在macOS系統(tǒng)中鹃操，應用沙箱目錄~/Library/Containers/com.xxx.xxx和~/Library/Group Containers/com.xxx.xxx可以被普通用戶以讀或?qū)憴?quán)限訪問。這與iOS中的實踐是不同的这溅。此外组民，并不是所有的可執(zhí)行文件都是在macOS沙箱中的，也就是說一個簡單的腳本就可以竊取沙箱目錄中保存的所有數(shù)據(jù)悲靴。因此臭胜，研究人員建議應用開發(fā)者不要在沙箱目錄中保存敏感信息，尤其是保存于登錄信息相關(guān)的信息癞尚。

XCSSET竊取的敏感信息

XCSSET惡意軟件從這些應用中竊取了許多的關(guān)鍵隱私數(shù)據(jù)耸三，其中大多數(shù)都保存在沙箱目錄中。下面演示如何在Chrome中竊取敏感信息：

在Chrome中浇揩，竊取的數(shù)據(jù)包括用戶保存的密碼仪壮，XCSSET惡意軟件需要使用命令security find- generic-password -wa ‘Chrome’來獲取safe_storage_key。但是給命令需要root權(quán)限胳徽。為了獲得該權(quán)限积锅，惡意軟件將所有需要root權(quán)限的操作都放在一個單獨的函數(shù)中，如圖2所示：

圖 2. 需要管理員權(quán)限的操作

然后惡意軟件會通過一個偽造的對話框來誘使用戶授予這些權(quán)限：

一旦獲得Chrome safe_storage_key养盗，惡意軟件會解密所有的敏感數(shù)據(jù)并上傳到C2服務(wù)器缚陷。

圖 3. 竊取的Chrome信息

圖 4. 竊取Chrome的信息

研究人員還發(fā)現(xiàn)了攻擊以下應用的類似的腳本：

?Contacts

?Evernote

?Notes

?Opera

?Skype

?WeChat

新C2域名

從2021年4月20日到4月22日，研究人員發(fā)現(xiàn)了一些新的域名往核，這些域名都解析到了XCSSET 之前使用過的IP地址94.130.27.189箫爷，這些域名包括：

?atecasec.com

?linebrand.xyz

?mantrucks.xyz

?monotal.xyz

?nodeline.xyz

?sidelink.xyz

類似地，域名icloudserv.com會解析到一個非惡意的IP地址94.130.27.189。

這些新的域名都有來自“Let’s Encrypt”的HTTPS證書虎锚，有效日期為4月22日到7月21日硫痰。

圖 5. C2服務(wù)器的HTTPS證書

從2021年4月22日開始，所有的C2域名都解析到了IP地址 194.87.186.66窜护。5月1日效斑，出現(xiàn)了一個新的域名irc-nbg.v001.com被解析到了原來的C2 IP地址94.130.27.189。該新域名表明在該IP地址上有一個IRC服務(wù)器柱徙，這好像與XCSSET惡意軟件是無關(guān)的鳍悠。

從2021年6月9日到10日，所有與XCSSET C2服務(wù)器相關(guān)的現(xiàn)有域名都被移除了坐搔。取而代之的是如下的新域名：

?atecasec.info

?datasomatic.ru

?icloudserv.ru

?lucidapps.info

?relativedata.ru

?revokecert.ru

?safariperks.ru

6月24日，這些服務(wù)器也被攻擊者移除了敬矩。目前概行，研究人員無法定位XCSSET惡意軟件的新服務(wù)器。

其他行為變化

Bootstrap.applescript

在bootstrap.applescript中弧岳，最大的變化是使用了最新的C2域名：

圖 6. 使用的C2域名

除了現(xiàn)有的域名外凳忙，IP地址也是該列表的一部分。雖然域名無法訪問了禽炬，但是仍然可以通過IP地址來訪問C2服務(wù)器涧卵。

圖 7. 使用的模塊

研究人員還發(fā)現(xiàn)惡意軟件添加了一個新的模塊“canary”來對Chrome Canary瀏覽器執(zhí)行XSS注入，canary是Chrome瀏覽器的一個實驗版本腹尖。

圖 8. 使用的模塊

與最新的版本相比柳恐，screen_sim被移除了。

Replicator.applescript

作為感染本地Xcode項目的第一步热幔，惡意軟件修改了注入的build節(jié)點乐设，將build規(guī)則的ID從硬編碼的ID變成了隨機生成的ID，但是ID的最后6個字符仍然是硬編碼的AAC43A绎巨。在最新的版本中近尚，硬編碼的后綴修改成了6D902C。

圖 9. 修改的后綴

我這整理了網(wǎng)絡(luò)安全的學習資料３∏凇８甓汀！

【關(guān)注我私信可以獲取哦】