關閉選單
微軟警告稱,新的 XCSSET macOS 惡意軟體變種將針對 Xcode 開發者

微軟威脅情報部門報告指出,macOS平台上的XCSSET惡意軟體出現了一個新的變種,並已在有限的攻擊中被偵測到。這個新變種結合了數項令人擔憂的新功能,特別針對使用Xcode的開發人員,極大地提升了其攻擊能力。

Microsoft Threat Intelligence 報告稱,在有限的攻擊中檢測到了 XCSSET macOS 惡意軟體的新變種,它包含幾個新功能,包括增強的瀏覽器定位、剪貼簿劫持(註)和改進的持久性機制。微軟解釋說:“XCSSET 惡意軟體旨在感染通常由軟體開發人員使用的Xcode 項目,並在建立 Xcode 項目時運行。"微軟評估,這種感染和傳播模式是利用開發人員之間共享專案檔案的習慣來擴散。

註:
「剪貼簿劫持」(Clipboard Hijacking)是一種網路攻擊手法,攻擊者會惡意操控使用者的剪貼簿內容,藉此達到欺騙或竊取的目的。這類攻擊常見於加密貨幣交易、社交工程或惡意網站中。運作方式簡介:

a)   使用者在瀏覽惡意網站或執行惡意程式時,該程式會監控或修改剪貼簿內容。

b)   當使用者複製某些敏感資訊(如錢包地址、帳號、密碼)準備貼上時,剪貼簿內容已被悄悄替換成攻擊者指定的內容。

使用者若未察覺,就可能將錯誤資訊貼到交易平台或表單中,導致資金或資料外洩。


XCSSET 是一款模組化 macOS 惡意軟體,可充當資訊竊取程序和加密貨幣竊取程序,從受感染的裝置中竊取筆記、加密貨幣錢包和瀏覽器資料。該惡意軟體透過搜尋並感染裝置上的其他 Xcode 專案來傳播,以便在專案建置時執行惡意軟體

在新變種中,微軟觀察到惡意軟體試圖竊取Firefox瀏覽器資料,做法是安裝了一個開源工具HackBrowserData的修改版本,該工具用於解密並從瀏覽器資料儲存中匯出資料。此外,新變種還更新了剪貼簿劫持組件。它會持續監控macOS的剪貼簿,搜尋與加密貨幣地址相關的正規表達式模式。一旦偵測到加密貨幣地址,它會立即將其替換為攻擊者的地址。這將導致受感染裝置上的使用者在進行加密貨幣交易時,錯誤地將資金發送給攻擊者。

為了增強其隱蔽性,這個新變種也加入了新的持久性方法,例如創建LaunchDaemon條目來執行惡意負載,並在/tmp目錄中創建一個偽裝成System Settings.app的假應用程式以掩蓋其活動。

儘管這個新變種尚未廣泛傳播,微軟已將調查結果與Apple共享,並與GitHub合作移除相關的惡意儲存庫。為了防範此類惡意軟體,微軟建議macOS開發人員應始終保持作業系統和應用程式的最新狀態,並特別強調在建置Xcode專案之前,尤其是從他人處獲得的專案,務必進行詳細檢查以確保安全性。


資料來源:https://www.bleepingcomputer.com/news/security/microsoft-warns-of-new-xcsset-macos-malware-variant-targeting-xcode-devs/
 
微軟威脅情報部門警告,已偵測到針對macOS開發人員的XCSSET惡意軟體新變種,該變種具有增強的瀏覽器攻擊目標、剪貼簿劫持和改進的持久性機制,對開發環境構成嚴重威脅。