研究人員分析了XCSSET惡意軟件攻擊最新macOS 11（Big Sur）系統的特征。之后，XCSSET惡意軟件攻擊活動又向其工具集中增加了一些新的特征。在其最新的攻擊活動中，研究人員發現了XCSSET從不同APP中竊取信息的機制。

XCSSET惡意軟件如何竊取信息？

從最初的XCSSET版本開始，研究人員就發現惡意軟件會從不同的APP中收集數據，并發送回其C2服務器。但是研究人員并不知道攻擊者如何使用這些數據。研究人員最近發現了XCSSET用來竊取數據的工作機制，并發現其中含有一些可以用于其他目的的敏感信息。

以惡意AppleScript文件“telegram.applescript”為例，該文件名中可以看出telegram就是目標APP。其主邏輯是壓縮文件夾“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”到ZIP文件中，然后上傳該文件到其C2服務器。

圖 1. telegram.applescript代碼

為找出收集該文件夾的目的，研究人員使用2個Mac機器來執行簡單的測試：

?在測試機器A和機器B上都按照telegram應用

?在機器A上，登入有效的telegram賬戶。在機器B上不做任何操作。

?將機器A的“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”文件夾復制到機器B，并替換現有文件夾。

?在機器B上運行telegram。完成后，就登入了與機器A相同的賬戶。

在macOS系統中，應用沙箱目錄_{/Library/Containers/com.xxx.xxx和}/Library/Group Containers/com.xxx.xxx可以被普通用戶以讀或寫權限訪問。這與iOS中的實踐是不同的。此外，并不是所有的可執行文件都是在macOS沙箱中的，也就是說一個簡單的腳本就可以竊取沙箱目錄中保存的所有數據。因此，研究人員建議應用開發者不要在沙箱目錄中保存敏感信息，尤其是保存于登錄信息相關的信息。

XCSSET竊取的敏感信息

XCSSET惡意軟件從這些應用中竊取了許多的關鍵隱私數據，其中大多數都保存在沙箱目錄中。下面演示如何在Chrome中竊取敏感信息：

在Chrome中，竊取的數據包括用戶保存的密碼，XCSSET惡意軟件需要使用命令security find- generic-password -wa ‘Chrome’來獲取safe_storage_key。但是給命令需要root權限。為了獲得該權限，惡意軟件將所有需要root權限的操作都放在一個單獨的函數中，如圖2所示：

圖 2. 需要管理員權限的操作

然后惡意軟件會通過一個偽造的對話框來誘使用戶授予這些權限：

一旦獲得Chrome safe_storage_key，惡意軟件會解密所有的敏感數據并上傳到C2服務器。

圖 3. 竊取的Chrome信息

圖 4. 竊取Chrome的信息

研究人員還發現了攻擊以下應用的類似的腳本：

?Contacts

?Evernote

?Notes

?Opera

?Skype

?WeChat

新C2域名

從2021年4月20日到4月22日，研究人員發現了一些新的域名，這些域名都解析到了XCSSET 之前使用過的IP地址94.130.27.189，這些域名包括：

?atecasec.com

?linebrand.xyz

?mantrucks.xyz

?monotal.xyz

?nodeline.xyz

?sidelink.xyz

類似地，域名icloudserv.com會解析到一個非惡意的IP地址94.130.27.189。

這些新的域名都有來自“Let’s Encrypt”的HTTPS證書，有效日期為4月22日到7月21日。

圖 5. C2服務器的HTTPS證書

從2021年4月22日開始，所有的C2域名都解析到了IP地址 194.87.186.66。5月1日，出現了一個新的域名irc-nbg.v001.com被解析到了原來的C2 IP地址94.130.27.189。該新域名表明在該IP地址上有一個IRC服務器，這好像與XCSSET惡意軟件是無關的。

從2021年6月9日到10日，所有與XCSSET C2服務器相關的現有域名都被移除了。取而代之的是如下的新域名：

?atecasec.info

?datasomatic.ru

?icloudserv.ru

?lucidapps.info

?relativedata.ru

?revokecert.ru

?safariperks.ru

6月24日，這些服務器也被攻擊者移除了。目前，研究人員無法定位XCSSET惡意軟件的新服務器。

其他行為變化

Bootstrap.applescript

在bootstrap.applescript中，最大的變化是使用了最新的C2域名：

圖 6. 使用的C2域名

除了現有的域名外，IP地址也是該列表的一部分。雖然域名無法訪問了，但是仍然可以通過IP地址來訪問C2服務器。

圖 7. 使用的模塊

研究人員還發現惡意軟件添加了一個新的模塊“canary”來對Chrome Canary瀏覽器執行XSS注入，canary是Chrome瀏覽器的一個實驗版本。

圖 8. 使用的模塊

與最新的版本相比，screen_sim被移除了。

Replicator.applescript

作為感染本地Xcode項目的第一步，惡意軟件修改了注入的build節點，將build規則的ID從硬編碼的ID變成了隨機生成的ID，但是ID的最后6個字符仍然是硬編碼的AAC43A。在最新的版本中，硬編碼的后綴修改成了6D902C。

圖 9. 修改的后綴

我這整理了網絡安全的學習資料！！！

關注私我獲取資料

總結

以上是生活随笔為你收集整理的什么？还有可以攻击telegram和其他APP的恶意软件的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。