苹果推出M1芯片已经将近半年,但针对该芯片的恶意软件从GoSearch22到Silver Sparrow再到最近的XCSSET,层出不穷。甚至最新的恶意软件XCSSET不仅可以攻击M1芯片,还可以窃取QQ、微信等主流应用的数据。
4月19日,趋势科技(Trend Micro)专家发现,原先针对苹果开发人员的恶意软件XCSSET,现已重新设计,瞄上了装载苹果M1芯片的新产品。此外,该软件还实现了针对加密货币应用的数据窃取功能。
XCSSET重新设计,针对M1、QQ、微信、加密货币
XCSSET最初是趋势科技在2020年8月发现的一款Mac恶意软件,它通过Xcode项目传播,并利用两个零日漏洞来从目标系统窃取敏感信息并发起勒索软件攻击。
趋势科技称,重新设计的XCSSET可以窃取主流应用程序数据,例如Evernote、Skype、Notes、QQ、微信和Telegram,还会捕捉屏幕截图,并将被盗的文档传输到攻击者服务器。
该恶意软件还会进行勒索,它能够对文件加密并弹出赎金说明。XCSSET可以发起通用跨站脚本攻击(UXSS),在用户访问特定网站时向浏览器注入JavaScript代码。 这种行为使得恶意代码能够替换加密货币交易途径,并窃取在线服务的凭证,如amoCRM、Apple ID、Google、Paypal、SIPMarket和Yandex;还可以窃取苹果商店的银行卡信息。
趋势科技分别在7月13日和31日发现了两个注入XCSSET Mac 恶意软件的Xcode项目。
今年3月,卡巴斯基研究人员发现了XCSSET的新变种,该变种是针对苹果新M1芯片的设备编译的。
“在探索XCSSET的各种可执行模块时,我们发现其中一些模块还包含专门为M1芯片编译的样本。 例如,一个MD5散列为914e49921c19fffd7443deee6ee161a4的示例包含两种架构:x86_64和ARM64。”卡巴斯基在报告中表示。
“第一种架构针对装备上一代英特尔芯片的Mac设备,第二种针对ARM64架构进行了编译,它可以在配备M1芯片的设备上运行。”
卡巴斯基分析的样本已于2021-02-24 21:06:05上传到VirusTotal。与趋势科技分析的样本不同,此变体包含上面的散列或一个名为“metald”的模块,它也是可执行文件的名称。
趋势科技研究人员提供了XCSSET实现的新功能和有效负载的详细信息,例如使用名为“trendmicroano [.] com”的新域作为C&C服务器。
以下活跃的C&C域和IP地址94 [.] 130 [.] 27 [.] 189相同:
- Titian [.] com
- Findmymacs [.] com
- Statsmag [.] com
- Statsmag [.] xyz
- Adoberelations [.] com
- Trendmicronano [.]com
其他更改已应用于bootstrap.applescript模块,该模块包含调用其他恶意AppleScript模块的逻辑。其中一个主要变化与用户名为“apple_mac”的设备有关,该设备配备M1芯片的计算机,用于测试新的带有ARM结构的Mach-O文件,是否可以在M1设备上正常运行。
滥用Safari加载后门
根据趋势科技发布的最新报告,XCSSET持续滥用Safari浏览器的开发版本,利用通用跨站脚本攻击将JavaScript后门植入网站。
“正如我们在第一份技术简介中提到的那样,此恶意软件利用Safari的开发版本从C&C服务器加载恶意的Safari框架和相关的JavaScript后门。它在C&C服务器上托管Safari更新程序包,然后根据用户的操作系统版本下载和安装包。为了适应新发布的Big Sur,该恶意软件还添加了Safari 14的新包。”趋势科技在报告种写道 。 “正如我们在safari_remote.applescript中观察到的那样,它会根据用户当前的浏览器和操作系统版本下载相应的Safari包。”
研究人员对来自agent.php的最新JavaScript代码分析后发现,该恶意软件能够从以下站点窃取机密数据:
- 163.com
- Huobi
- binance.com
- nncall.net
- Envato
- login.live.com
例如,在加密货币交易平台Huobi,恶意软件能够窃取帐户信息并更换用户的加密货币钱包中的收款路径。
M1芯片遭遇越来越多的恶意软件
首个针对M1芯片的恶意软件是广告分发应用程序GoSearch22,在2021年2月19日被披露。它是Pirrit广告恶意软件的变体,可以伪装成合法的Safari浏览器扩展程序,默默收集浏览数据并投放大量广告,例如横幅和弹出窗口,包括一些链接到可疑网站并分发其他恶意软件的广告内容。
不到一周,第二个已知的针对M1的恶意软件“Silver Sparrow”被披露。它被编译成原生运行在M1 Mac上。据说这个恶意包利用macOS Installer JavaScript API执行可疑的命令,当时"Silver Sparrow"感染了153个国家的29139台macOS系统,其中包括 "美国、英国、加拿大、法国和德国的大量检出"。