Logiciel malveillant XCSSET pour macOS
Des chercheurs en cybersécurité ont identifié une nouvelle variante plus sophistiquée du malware XCSSET ciblant Apple macOS. Bien qu'observée actuellement dans des attaques limitées, cette version mise à jour présente des améliorations significatives en termes de furtivité, de persistance et d'exfiltration de données.
Table des matières
Qu’est-ce qui rend cette variante différente ?
La dernière version de XCSSET introduit plusieurs changements clés :
Ciblage du navigateur et du presse-papiers : il surveille désormais le contenu du presse-papiers à la recherche d'adresses de portefeuille de crypto-monnaie, en les remplaçant par des adresses contrôlées par l'attaquant pour détourner les transactions.
Vol de données étendu : Au-delà de Safari, le malware peut désormais exfiltrer des données de Mozilla Firefox.
Furtivité et persistance : en utilisant des entrées AppleScripts et LaunchDaemon compilées en exécution seule, il reste difficile de détecter et de maintenir la persistance sur les systèmes infectés.
Chaîne d'infection améliorée : les modifications apportées à la quatrième étape de l'attaque impliquent la récupération d'un AppleScript de dernière étape responsable de la collecte des informations système et de l'exécution du module via une fonction boot().
Comment XCSSET infecte macOS
XCSSET cible principalement les projets Xcode utilisés par les développeurs de logiciels. Lors de la création de ces projets, le malware active et exécute ses modules malveillants. Bien que le mode de propagation exact reste flou, on soupçonne que les projets Xcode partagés ou clonés constituent un vecteur majeur.
Plus tôt cette année, les chercheurs ont noté des améliorations, notamment une meilleure gestion des erreurs et la mise en œuvre de trois techniques de persistance conçues pour siphonner les données sensibles des systèmes compromis.
Modules nouveaux et mis à jour
La dernière variante comprend plusieurs modules nouveaux ou modifiés, chacun exécutant des fonctions malveillantes spécifiques :
vexyeqj (anciennement seizecj)
- Télécharge un module nommé bnk en utilisant osascript.
- Gère la validation des données, le cryptage/décryptage, la communication C2 et la journalisation.
- Intègre des capacités de piratage du presse-papiers.
neq_cdyd_ilvcmwx
- Exfiltre les fichiers vers le serveur C2, similaire à l'ancien module txzx_vostfdi.
xmyyeqjx
- Établit une persistance basée sur LaunchDaemon.
jey
- Implémente la persistance basée sur Git.
iewmilh_cdyd
- Vole les données du navigateur Firefox à l'aide d'un outil HackBrowserData modifié.
Les mises à jour supplémentaires incluent des vérifications pour l'application de messagerie Telegram et des modifications logiques dans divers modules.
Mesures d’atténuation et de sécurité
Pour réduire le risque posé par XCSSET, les utilisateurs de macOS doivent :
- Maintenez vos systèmes et logiciels entièrement à jour.
- Inspectez soigneusement les projets Xcode obtenus à partir de référentiels ou de sources externes.
- Soyez prudent lorsque vous copiez ou collez des informations sensibles, en particulier les adresses de portefeuilles de crypto-monnaie.
Ce format structuré met en évidence l'évolution du malware, les détails techniques et les conseils pratiques d'atténuation tout en conservant toutes les informations essentielles intactes.
