蘋(píng)果推出M1芯片已經(jīng)將近半年，但針對(duì)該芯片的惡意軟件從GoSearch22到Silver Sparrow再到最近的XCSSET，層出不窮。甚至最新的惡意軟件XCSSET不僅可以攻擊M1芯片，還可以竊取QQ、微信等主流應(yīng)用的數(shù)據(jù)。

　　4月19日，趨勢(shì)科技（Trend Micro）專家發(fā)現(xiàn)，原先針對(duì)蘋(píng)果開(kāi)發(fā)人員的惡意軟件XCSSET，現(xiàn)已重新設(shè)計(jì)，瞄上了裝載蘋(píng)果M1芯片的新產(chǎn)品。此外，該軟件還實(shí)現(xiàn)了針對(duì)加密貨幣應(yīng)用的數(shù)據(jù)竊取功能。

　　XCSSET重新設(shè)計(jì)，針對(duì)M1、QQ、微信、加密貨幣XCSSET最初是趨勢(shì)科技在2020年8月發(fā)現(xiàn)的一款Mac惡意軟件，它通過(guò)Xcode項(xiàng)目傳播，并利用兩個(gè)零日漏洞來(lái)從目標(biāo)系統(tǒng)竊取敏感信息并發(fā)起勒索軟件攻擊。

　　趨勢(shì)科技稱，重新設(shè)計(jì)的XCSSET可以竊取主流應(yīng)用程序數(shù)據(jù)，例如Evernote、Skype、Notes、QQ、微信和Telegram，還會(huì)捕捉屏幕截圖，并將被盜的文檔傳輸?shù)焦粽叻?wù)器。

　　該惡意軟件還會(huì)進(jìn)行勒索，它能夠?qū)ξ募用懿棾鲒H金說(shuō)明。XCSSET可以發(fā)起通用跨站腳本攻擊（UXSS），在用戶訪問(wèn)特定網(wǎng)站時(shí)向?yàn)g覽器注入JavaScript代碼。這種行為使得惡意代碼能夠替換加密貨幣交易途徑，并竊取在線服務(wù)的憑證，如amoCRM、Apple ID、Google、Paypal、SIPMarket和Yandex；還可以竊取蘋(píng)果商店的銀行卡信息。

　　趨勢(shì)科技分別在7月13日和31日發(fā)現(xiàn)了兩個(gè)注入XCSSET Mac 惡意軟件的Xcode項(xiàng)目。

　　今年3月，卡巴斯基研究人員發(fā)現(xiàn)了XCSSET的新變種，該變種是針對(duì)蘋(píng)果新M1芯片的設(shè)備編譯的。

　　“在探索XCSSET的各種可執(zhí)行模塊時(shí)，我們發(fā)現(xiàn)其中一些模塊還包含專門(mén)為M1芯片編譯的樣本。例如，一個(gè)MD5散列為914e49921c19fffd7443deee6ee161a4的示例包含兩種架構(gòu)：x86_64和ARM64?！笨ò退够趫?bào)告中表示。

　　“第一種架構(gòu)針對(duì)裝備上一代英特爾芯片的Mac設(shè)備，第二種針對(duì)ARM64架構(gòu)進(jìn)行了編譯，它可以在配備M1芯片的設(shè)備上運(yùn)行?！?/p>

　　卡巴斯基分析的樣本已于2021-02-24 21:06:05上傳到VirusTotal。與趨勢(shì)科技分析的樣本不同，此變體包含上面的散列或一個(gè)名為“metald”的模塊，它也是可執(zhí)行文件的名稱。

　　趨勢(shì)科技研究人員提供了XCSSET實(shí)現(xiàn)的新功能和有效負(fù)載的詳細(xì)信息，例如使用名為“trendmicroano [.] com”的新域作為C＆C服務(wù)器。

　　以下活躍的C＆C域和IP地址94 [.] 130 [.] 27 [.] 189相同：

　　Titian [.] com

　　Findmymacs [.] com

　　Statsmag [.] com

　　Statsmag [.] xyz

　　Adoberelations [.] com

　　Trendmicronano [.]com

　　其他更改已應(yīng)用于bootstrap.applescript模塊，該模塊包含調(diào)用其他惡意AppleScript模塊的邏輯。其中一個(gè)主要變化與用戶名為“apple_mac”的設(shè)備有關(guān)，該設(shè)備配備M1芯片的計(jì)算機(jī)，用于測(cè)試新的帶有ARM結(jié)構(gòu)的Mach-O文件，是否可以在M1設(shè)備上正常運(yùn)行。

　　濫用Safari加載后門(mén)

　　根據(jù)趨勢(shì)科技發(fā)布的最新報(bào)告，XCSSET持續(xù)濫用Safari瀏覽器的開(kāi)發(fā)版本，利用通用跨站腳本攻擊將JavaScript后門(mén)植入網(wǎng)站。

　　“正如我們?cè)诘谝环菁夹g(shù)簡(jiǎn)介中提到的那樣，此惡意軟件利用Safari的開(kāi)發(fā)版本從C＆C服務(wù)器加載惡意的Safari框架和相關(guān)的JavaScript后門(mén)。它在C＆C服務(wù)器上托管Safari更新程序包，然后根據(jù)用戶的操作系統(tǒng)版本下載和安裝包。為了適應(yīng)新發(fā)布的Big Sur，該惡意軟件還添加了Safari 14的新包?！壁厔?shì)科技在報(bào)告種寫(xiě)道 ?！罢缥覀?cè)趕afari_remote.applescript中觀察到的那樣，它會(huì)根據(jù)用戶當(dāng)前的瀏覽器和操作系統(tǒng)版本下載相應(yīng)的Safari包?！?/p>

　　研究人員對(duì)來(lái)自agent.php的最新JavaScript代碼分析后發(fā)現(xiàn)，該惡意軟件能夠從以下站點(diǎn)竊取機(jī)密數(shù)據(jù)：

　　163.com

　　Huobi

　　binance.com

　　nncall.net

　　Envato

　　login.live.com

　　例如，在加密貨幣交易平臺(tái)Huobi，惡意軟件能夠竊取帳戶信息并更換用戶的加密貨幣錢(qián)包中的收款路徑。

　　M1芯片遭遇越來(lái)越多的惡意軟件

　　首個(gè)針對(duì)M1芯片的惡意軟件是廣告分發(fā)應(yīng)用程序GoSearch22，在2021年2月19日被披露。它是Pirrit廣告惡意軟件的變體，可以偽裝成合法的Safari瀏覽器擴(kuò)展程序，默默收集瀏覽數(shù)據(jù)并投放大量廣告，例如橫幅和彈出窗口，包括一些鏈接到可疑網(wǎng)站并分發(fā)其他惡意軟件的廣告內(nèi)容。

　　不到一周，第二個(gè)已知的針對(duì)M1的惡意軟件“Silver Sparrow”被披露。它被編譯成原生運(yùn)行在M1 Mac上。據(jù)說(shuō)這個(gè)惡意包利用macOS Installer JavaScript API執(zhí)行可疑的命令，當(dāng)時(shí)“Silver Sparrow”感染了153個(gè)國(guó)家的29139臺(tái)macOS系統(tǒng)，其中包括 “美國(guó)、英國(guó)、加拿大、法國(guó)和德國(guó)的大量檢出”。