蘋(píng)果推出M1芯片已經(jīng)將近半年,但針對(duì)該芯片的惡意軟件從GoSearch22到Silver Sparrow再到最近的XCSSET,層出不窮。甚至最新的惡意軟件XCSSET不僅可以攻擊M1芯片,還可以竊取QQ、微信等主流應(yīng)用的數(shù)據(jù)。
4月19日,趨勢(shì)科技(Trend Micro)專家發(fā)現(xiàn),原先針對(duì)蘋(píng)果開(kāi)發(fā)人員的惡意軟件XCSSET,現(xiàn)已重新設(shè)計(jì),瞄上了裝載蘋(píng)果M1芯片的新產(chǎn)品。此外,該軟件還實(shí)現(xiàn)了針對(duì)加密貨幣應(yīng)用的數(shù)據(jù)竊取功能。
XCSSET重新設(shè)計(jì),針對(duì)M1、QQ、微信、加密貨幣XCSSET最初是趨勢(shì)科技在2020年8月發(fā)現(xiàn)的一款Mac惡意軟件,它通過(guò)Xcode項(xiàng)目傳播,并利用兩個(gè)零日漏洞來(lái)從目標(biāo)系統(tǒng)竊取敏感信息并發(fā)起勒索軟件攻擊。
趨勢(shì)科技稱,重新設(shè)計(jì)的XCSSET可以竊取主流應(yīng)用程序數(shù)據(jù),例如Evernote、Skype、Notes、QQ、微信和Telegram,還會(huì)捕捉屏幕截圖,并將被盜的文檔傳輸?shù)焦粽叻?wù)器。
該惡意軟件還會(huì)進(jìn)行勒索,它能夠?qū)ξ募用懿棾鲒H金說(shuō)明。XCSSET可以發(fā)起通用跨站腳本攻擊(UXSS),在用戶訪問(wèn)特定網(wǎng)站時(shí)向?yàn)g覽器注入JavaScript代碼。這種行為使得惡意代碼能夠替換加密貨幣交易途徑,并竊取在線服務(wù)的憑證,如amoCRM、Apple ID、Google、Paypal、SIPMarket和Yandex;還可以竊取蘋(píng)果商店的銀行卡信息。
趨勢(shì)科技分別在7月13日和31日發(fā)現(xiàn)了兩個(gè)注入XCSSET Mac 惡意軟件的Xcode項(xiàng)目。
今年3月,卡巴斯基研究人員發(fā)現(xiàn)了XCSSET的新變種,該變種是針對(duì)蘋(píng)果新M1芯片的設(shè)備編譯的。
“在探索XCSSET的各種可執(zhí)行模塊時(shí),我們發(fā)現(xiàn)其中一些模塊還包含專門(mén)為M1芯片編譯的樣本。例如,一個(gè)MD5散列為914e49921c19fffd7443deee6ee161a4的示例包含兩種架構(gòu):x86_64和ARM64?!笨ò退够趫?bào)告中表示。
“第一種架構(gòu)針對(duì)裝備上一代英特爾芯片的Mac設(shè)備,第二種針對(duì)ARM64架構(gòu)進(jìn)行了編譯,它可以在配備M1芯片的設(shè)備上運(yùn)行?!?/p>
卡巴斯基分析的樣本已于2021-02-24 21:06:05上傳到VirusTotal。與趨勢(shì)科技分析的樣本不同,此變體包含上面的散列或一個(gè)名為“metald”的模塊,它也是可執(zhí)行文件的名稱。
趨勢(shì)科技研究人員提供了XCSSET實(shí)現(xiàn)的新功能和有效負(fù)載的詳細(xì)信息,例如使用名為“trendmicroano [.] com”的新域作為C&C服務(wù)器。
以下活躍的C&C域和IP地址94 [.] 130 [.] 27 [.] 189相同:
Titian [.] com
Findmymacs [.] com
Statsmag [.] com
Statsmag [.] xyz
Adoberelations [.] com
Trendmicronano [.]com
其他更改已應(yīng)用于bootstrap.applescript模塊,該模塊包含調(diào)用其他惡意AppleScript模塊的邏輯。其中一個(gè)主要變化與用戶名為“apple_mac”的設(shè)備有關(guān),該設(shè)備配備M1芯片的計(jì)算機(jī),用于測(cè)試新的帶有ARM結(jié)構(gòu)的Mach-O文件,是否可以在M1設(shè)備上正常運(yùn)行。
濫用Safari加載后門(mén)
根據(jù)趨勢(shì)科技發(fā)布的最新報(bào)告,XCSSET持續(xù)濫用Safari瀏覽器的開(kāi)發(fā)版本,利用通用跨站腳本攻擊將JavaScript后門(mén)植入網(wǎng)站。
“正如我們?cè)诘谝环菁夹g(shù)簡(jiǎn)介中提到的那樣,此惡意軟件利用Safari的開(kāi)發(fā)版本從C&C服務(wù)器加載惡意的Safari框架和相關(guān)的JavaScript后門(mén)。它在C&C服務(wù)器上托管Safari更新程序包,然后根據(jù)用戶的操作系統(tǒng)版本下載和安裝包。為了適應(yīng)新發(fā)布的Big Sur,該惡意軟件還添加了Safari 14的新包?!壁厔?shì)科技在報(bào)告種寫(xiě)道 ?!罢缥覀?cè)趕afari_remote.applescript中觀察到的那樣,它會(huì)根據(jù)用戶當(dāng)前的瀏覽器和操作系統(tǒng)版本下載相應(yīng)的Safari包?!?/p>
研究人員對(duì)來(lái)自agent.php的最新JavaScript代碼分析后發(fā)現(xiàn),該惡意軟件能夠從以下站點(diǎn)竊取機(jī)密數(shù)據(jù):
163.com
Huobi
binance.com
nncall.net
Envato
login.live.com
例如,在加密貨幣交易平臺(tái)Huobi,惡意軟件能夠竊取帳戶信息并更換用戶的加密貨幣錢(qián)包中的收款路徑。
M1芯片遭遇越來(lái)越多的惡意軟件
首個(gè)針對(duì)M1芯片的惡意軟件是廣告分發(fā)應(yīng)用程序GoSearch22,在2021年2月19日被披露。它是Pirrit廣告惡意軟件的變體,可以偽裝成合法的Safari瀏覽器擴(kuò)展程序,默默收集瀏覽數(shù)據(jù)并投放大量廣告,例如橫幅和彈出窗口,包括一些鏈接到可疑網(wǎng)站并分發(fā)其他惡意軟件的廣告內(nèi)容。
不到一周,第二個(gè)已知的針對(duì)M1的惡意軟件“Silver Sparrow”被披露。它被編譯成原生運(yùn)行在M1 Mac上。據(jù)說(shuō)這個(gè)惡意包利用macOS Installer JavaScript API執(zhí)行可疑的命令,當(dāng)時(shí)“Silver Sparrow”感染了153個(gè)國(guó)家的29139臺(tái)macOS系統(tǒng),其中包括 “美國(guó)、英國(guó)、加拿大、法國(guó)和德國(guó)的大量檢出”。