本周新闻热点

XCSSET恶意软件更新版天职析,可攻击telegram和其他APP

来源:申博官方网 发布时间:2021-08-04 浏览次数:

欧博allbet网址

欢迎进入欧博allbet网址(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

之前,研究职员剖析了XCSSET恶意软件攻击最新macOS 11(Big Sur)系统的特征。之后,XCSSET恶意软件攻击流动又向其工具集中增添了一些新的特征。在其最新的攻击流动中,研究职员发现了XCSSET从差异APP中窃守信息的机制。

XCSSET恶意软件若何窃守信息?

从最初的XCSSET版本最先,研究职员就发现恶意软件会从差其余APP中网络数据,并发送回其C2服务器。然则研究职员并不知道攻击者若何使用这些数据。研究职员最近发现了XCSSET用来窃取数据的事情机制,并发现其中含有一些可以用于其他目的的敏感信息。

以恶意AppleScript文件“telegram.applescript”为例,该文件名中可以看出telegram就是目的APP。其主逻辑是压缩文件夹“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”到ZIP文件中,然后上传该文件到其C2服务器。


图 1. telegram.applescript代码

为找出网络该文件夹的目的,研究职员使用2个Mac机械来执行简朴的测试:

◼在测试机械A和机械B上都根据telegram应用

◼在机械A上,登入有用的telegram账户。在机械B上不做任何操作。

◼将机械A的“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”文件夹复制到机械B,并替换现有文件夹。

◼在机械B上运行telegram。完成后,就登入了与机械A相同的账户。

在macOS系统中,应用沙箱目录~/Library/Containers/com.xxx.xxx和~/Library/Group Containers/com.xxx.xxx可以被通俗用户以读或写权限接见。这与iOS中的实践是差其余。此外,并不是所有的可执行文件都是在macOS沙箱中的,也就是说一个简朴的剧本就可以窃取沙箱目录中保留的所有数据。因此,研究职员建议应用开发者不要在沙箱目录中保留敏感信息,尤其是保留于登录信息相关的信息。

XCSSET窃取的敏感信息

XCSSET恶意软件从这些应用中窃取了许多的要害隐私数据,其中大多数都保留在沙箱目录中。下面演示若何在Chrome中窃取敏感信息:

在Chrome中,窃取的数据包罗用户保留的密码,XCSSET恶意软件需要使用下令security find- generic-password -wa ‘Chrome’来获取safe_storage_key。然则给下令需要root权限。为了获得该权限,恶意软件将所有需要root权限的操作都放在一个单独的函数中,如图2所示:


图 2. 需要治理员权限的操作

然后恶意软件会通过一个伪造的对话框来诱使用户授予这些权限:

一旦获得Chrome safe_storage_key,恶意软件会解密所有的敏感数据并上传到C2服务器。


图 3. 窃取的Chrome信息


图 4. 窃取Chrome的信息

研究职员还发现了攻击以下应用的类似的剧本:

◼Contacts

◼Evernote

◼Notes

◼Opera

◼Skype

◼WeChat

新C2域名

从2021年4月20日到4月22日,研究职员发现了一些新的域名,这些域名都剖析到了XCSSET 之前使用过的IP地址94.130.27.189,这些域名包罗:

◼atecasec.com

Allbet Gmaing下载

欢迎进入AllbetGmaing下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

◼linebrand.xyz

◼mantrucks.xyz

◼monotal.xyz

◼nodeline.xyz

◼sidelink.xyz

类似地,域名icloudserv.com会剖析到一个非恶意的IP地址94.130.27.189。

这些新的域名都有来自“Let’s Encrypt”的HTTPS证书,有用日期为4月22日到7月21日。


图 5. C2服务器的HTTPS证书

从2021年4月22日最先,所有的C2域名都剖析到了IP地址 194.87.186.66。5月1日,泛起了一个新的域名irc-nbg.v001.com被剖析到了原来的C2 IP地址94.130.27.189。该新域名解释在该IP地址上有一个IRC服务器,这似乎与XCSSET恶意软件是无关的。

从2021年6月9日到10日,所有与XCSSET C2服务器相关的现有域名都被移除了。取而代之的是如下的新域名:

◼atecasec.info

◼datasomatic.ru

◼icloudserv.ru

◼lucidapps.info

◼relativedata.ru

◼revokecert.ru

◼safariperks.ru

6月24日,这些服务器也被攻击者移除了。现在,研究职员无法定位XCSSET恶意软件的新服务器。

其他行为转变

Bootstrap.applescript

在bootstrap.applescript中,最大的转变是使用了最新的C2域名:


图 6. 使用的C2域名

除了现有的域名外,IP地址也是该列表的一部门。虽然域名无法接见了,然则仍然可以通过IP地址来接见C2服务器。


图 7. 使用的模块

研究职员还发现恶意软件添加了一个新的模块“canary”来对Chrome Canary浏览器执行XSS注入,canary是Chrome浏览器的一个实验版本。


图 8. 使用的模块

与最新的版真相比,screen_sim被移除了。

Replicator.applescript

作为熏染内陆Xcode项目的第一步,恶意软件修改了注入的build节点,将build规则的ID从硬编码的ID酿成了随机天生的ID,然则ID的最后6个字符仍然是硬编码的AAC43A。在最新的版本中,硬编码的后缀修改成了6D902C。


图 9. 修改的后缀

本文翻译自:https://www.trendmicro.com/en_us/research/21/g/updated-xcsset-malware-targets-telegram--other-apps.html
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片