Pembaruan Malware XCSSET dengan Python 3 untuk Menargetkan Pengguna macOS Monterey

  • Bagikan
XCSSET Malware

Beritaini.top Pembaruan Malware XCSSET dengan Python 3 untuk Menargetkan Pengguna macOS Monterey

Malware XCSSET

Operator malware XCSSET macOS telah meningkatkan taruhannya dengan melakukan perbaikan berulang yang menambahkan dukungan untuk macOS Monterey dengan memutakhirkan komponen kode sumbernya ke Python 3.

“Pembuat malware telah berubah dari menyembunyikan executable utama di Xcode.app palsu di versi awal pada 2020 menjadi Mail.app palsu pada 2021 dan sekarang menjadi Notes.app palsu pada 2022,” peneliti SentinelOne Phil Stokes dan Dinesh Devadoss dikatakan dalam sebuah laporan.

XCSSET, pertama kali didokumentasikan oleh Trend Micro pada tahun 2020, memiliki banyak bagian yang bergerak yang memungkinkannya mengumpulkan informasi sensitif dari Apple Notes, WeChat, Skype, dan Telegram; menyuntikkan kode JavaScript berbahaya ke berbagai situs web; dan membuang cookie dari browser web Safari.

Keamanan cyber

Rantai infeksi memerlukan penggunaan penetes untuk mengkompromikan proyek Xcode pengguna dengan pintu belakang, dengan pintu belakang juga mengambil langkah-langkah untuk menghindari deteksi dengan menyamar sebagai perangkat lunak sistem atau aplikasi peramban web Google Chrome.

Eksekusi utama adalah AppleScript yang dirancang untuk mengambil muatan AppleScript tahap kedua dari jaringan server jarak jauh yang menyedot data yang disimpan di browser web seperti Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, dan Yandex Browser serta aplikasi obrolan seperti Telegram dan WeChat.

Pelaku ancaman juga diketahui menggunakan AppleScript khusus (“listing.applescript”) untuk menentukan “seberapa mutakhir korban dengan alat penghapus malware XProtect dan MRT Apple, mungkin lebih baik untuk menargetkan mereka dengan muatan yang lebih efektif. ,” kata para peneliti.

Malware XCSSET

Salah satu aspek baru dari serangan tersebut adalah bahwa menyebarkan malware dalam proyek Xcode dipandang sebagai metode propagasi melalui repositori GitHub untuk memperluas jangkauannya.

Selain memanfaatkan AppleScripts, malware juga memanfaatkan skrip Python untuk menjatuhkan ikon aplikasi palsu di MacOS Dock dan mencuri data dari aplikasi Notes yang sah.

Versi terbaru XCSSET juga terkenal karena memasukkan modifikasi ke AppleScripts untuk memperhitungkan pemindahan Python 2.7 dari macOS 12.3 dirilis pada 14 Maret 2022, menunjukkan bahwa penulis terus memperbarui malware untuk meningkatkan peluang keberhasilan mereka.

Keamanan cyber

Untuk itu, musuh dikatakan telah memperbarui “safari_remote.applescript” mereka dengan menghilangkan Python 2 demi Python 3 untuk sistem yang menjalankan macOS Monterey 12.3 dan di atasnya.

Meskipun berada di alam liar selama dua tahun, sangat sedikit yang diketahui tentang identitas pelaku ancaman dan motivasi mereka atau target pasti mereka. Yang mengatakan, serangan malware XCSSET telah dilaporkan di Cina baru-baru ini Mei 2022 yang menuntut korban membayar 200 USDT sebagai imbalan untuk membuka akun curian.

“Pada titik ini, tidak jelas apakah repo yang terinfeksi ini adalah korban atau tanaman oleh pelaku ancaman yang berharap menginfeksi pengguna yang tidak waspada,” catat para peneliti. “Telah disarankan bahwa pengguna yang tidak curiga dapat diarahkan ke repositori yang terinfeksi melalui tutorial dan screencasts untuk pengembang pemula.”

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.