《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 電子元件 > 業(yè)界動(dòng)態(tài) > 蘋(píng)果M1芯片再遭惡意軟件攻擊,QQ微信數(shù)據(jù)也可能受影響

蘋(píng)果M1芯片再遭惡意軟件攻擊,QQ微信數(shù)據(jù)也可能受影響

2021-04-20
來(lái)源: FreeBuf
關(guān)鍵詞: 蘋(píng)果M1芯片 惡意軟件

  蘋(píng)果推出M1芯片已經(jīng)將近半年,但針對(duì)該芯片的惡意軟件從GoSearch22到Silver Sparrow再到最近的XCSSET,層出不窮。甚至最新的惡意軟件XCSSET不僅可以攻擊M1芯片,還可以竊取QQ、微信等主流應(yīng)用的數(shù)據(jù)。

  4月19日,趨勢(shì)科技(Trend Micro)專家發(fā)現(xiàn),原先針對(duì)蘋(píng)果開(kāi)發(fā)人員的惡意軟件XCSSET,現(xiàn)已重新設(shè)計(jì),瞄上了裝載蘋(píng)果M1芯片的新產(chǎn)品。此外,該軟件還實(shí)現(xiàn)了針對(duì)加密貨幣應(yīng)用的數(shù)據(jù)竊取功能。

  XCSSET重新設(shè)計(jì),針對(duì)M1、QQ、微信、加密貨幣XCSSET最初是趨勢(shì)科技在2020年8月發(fā)現(xiàn)的一款Mac惡意軟件,它通過(guò)Xcode項(xiàng)目傳播,并利用兩個(gè)零日漏洞來(lái)從目標(biāo)系統(tǒng)竊取敏感信息并發(fā)起勒索軟件攻擊。

  趨勢(shì)科技稱,重新設(shè)計(jì)的XCSSET可以竊取主流應(yīng)用程序數(shù)據(jù),例如Evernote、Skype、Notes、QQ、微信和Telegram,還會(huì)捕捉屏幕截圖,并將被盜的文檔傳輸?shù)焦粽叻?wù)器。

  該惡意軟件還會(huì)進(jìn)行勒索,它能夠?qū)ξ募用懿棾鲒H金說(shuō)明。XCSSET可以發(fā)起通用跨站腳本攻擊(UXSS),在用戶訪問(wèn)特定網(wǎng)站時(shí)向?yàn)g覽器注入JavaScript代碼。這種行為使得惡意代碼能夠替換加密貨幣交易途徑,并竊取在線服務(wù)的憑證,如amoCRM、Apple ID、Google、Paypal、SIPMarket和Yandex;還可以竊取蘋(píng)果商店的銀行卡信息。

  趨勢(shì)科技分別在7月13日和31日發(fā)現(xiàn)了兩個(gè)注入XCSSET Mac 惡意軟件的Xcode項(xiàng)目。

  今年3月,卡巴斯基研究人員發(fā)現(xiàn)了XCSSET的新變種,該變種是針對(duì)蘋(píng)果新M1芯片的設(shè)備編譯的。

  “在探索XCSSET的各種可執(zhí)行模塊時(shí),我們發(fā)現(xiàn)其中一些模塊還包含專門(mén)為M1芯片編譯的樣本。例如,一個(gè)MD5散列為914e49921c19fffd7443deee6ee161a4的示例包含兩種架構(gòu):x86_64和ARM64?!笨ò退够趫?bào)告中表示。

  “第一種架構(gòu)針對(duì)裝備上一代英特爾芯片的Mac設(shè)備,第二種針對(duì)ARM64架構(gòu)進(jìn)行了編譯,它可以在配備M1芯片的設(shè)備上運(yùn)行?!?/p>

  卡巴斯基分析的樣本已于2021-02-24 21:06:05上傳到VirusTotal。與趨勢(shì)科技分析的樣本不同,此變體包含上面的散列或一個(gè)名為“metald”的模塊,它也是可執(zhí)行文件的名稱。

  趨勢(shì)科技研究人員提供了XCSSET實(shí)現(xiàn)的新功能和有效負(fù)載的詳細(xì)信息,例如使用名為“trendmicroano [.] com”的新域作為C&C服務(wù)器。

  以下活躍的C&C域和IP地址94 [.] 130 [.] 27 [.] 189相同:

  Titian [.] com

  Findmymacs [.] com

  Statsmag [.] com

  Statsmag [.] xyz

  Adoberelations [.] com

  Trendmicronano [.]com

  其他更改已應(yīng)用于bootstrap.applescript模塊,該模塊包含調(diào)用其他惡意AppleScript模塊的邏輯。其中一個(gè)主要變化與用戶名為“apple_mac”的設(shè)備有關(guān),該設(shè)備配備M1芯片的計(jì)算機(jī),用于測(cè)試新的帶有ARM結(jié)構(gòu)的Mach-O文件,是否可以在M1設(shè)備上正常運(yùn)行。

  微信圖片_20210420184105.jpg

  濫用Safari加載后門(mén)

  根據(jù)趨勢(shì)科技發(fā)布的最新報(bào)告,XCSSET持續(xù)濫用Safari瀏覽器的開(kāi)發(fā)版本,利用通用跨站腳本攻擊將JavaScript后門(mén)植入網(wǎng)站。

  “正如我們?cè)诘谝环菁夹g(shù)簡(jiǎn)介中提到的那樣,此惡意軟件利用Safari的開(kāi)發(fā)版本從C&C服務(wù)器加載惡意的Safari框架和相關(guān)的JavaScript后門(mén)。它在C&C服務(wù)器上托管Safari更新程序包,然后根據(jù)用戶的操作系統(tǒng)版本下載和安裝包。為了適應(yīng)新發(fā)布的Big Sur,該惡意軟件還添加了Safari 14的新包?!壁厔?shì)科技在報(bào)告種寫(xiě)道 ?!罢缥覀?cè)趕afari_remote.applescript中觀察到的那樣,它會(huì)根據(jù)用戶當(dāng)前的瀏覽器和操作系統(tǒng)版本下載相應(yīng)的Safari包?!?/p>

  研究人員對(duì)來(lái)自agent.php的最新JavaScript代碼分析后發(fā)現(xiàn),該惡意軟件能夠從以下站點(diǎn)竊取機(jī)密數(shù)據(jù):

  163.com

  Huobi

  binance.com

  nncall.net

  Envato

  login.live.com

  例如,在加密貨幣交易平臺(tái)Huobi,惡意軟件能夠竊取帳戶信息并更換用戶的加密貨幣錢(qián)包中的收款路徑。

  M1芯片遭遇越來(lái)越多的惡意軟件

  首個(gè)針對(duì)M1芯片的惡意軟件是廣告分發(fā)應(yīng)用程序GoSearch22,在2021年2月19日被披露。它是Pirrit廣告惡意軟件的變體,可以偽裝成合法的Safari瀏覽器擴(kuò)展程序,默默收集瀏覽數(shù)據(jù)并投放大量廣告,例如橫幅和彈出窗口,包括一些鏈接到可疑網(wǎng)站并分發(fā)其他惡意軟件的廣告內(nèi)容。

  微信圖片_20210420184138.jpg

  不到一周,第二個(gè)已知的針對(duì)M1的惡意軟件“Silver Sparrow”被披露。它被編譯成原生運(yùn)行在M1 Mac上。據(jù)說(shuō)這個(gè)惡意包利用macOS Installer JavaScript API執(zhí)行可疑的命令,當(dāng)時(shí)“Silver Sparrow”感染了153個(gè)國(guó)家的29139臺(tái)macOS系統(tǒng),其中包括 “美國(guó)、英國(guó)、加拿大、法國(guó)和德國(guó)的大量檢出”。

  


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。