iPhone发布M1芯片早已将近几个月,但对于该芯片的恶意软件从GoSearch22到Silver Sparrow再到近期的XCSSET,五花八门。乃至近期的恶意软件XCSSET不但可以进攻M1芯片,还能够窃取QQ、手机微信等流行运用的数据信息。
4月19日,趋势科技(Trend Micro)权威专家发觉,原来对于iPhone开发者的恶意软件XCSSET,已经再次设计方案,瞄上运载iPhoneM1芯片的新品。除此之外,此软件还建立了对于加密货币运用的数据信息窃取作用。
XCSSET再次设计方案,对于M1、QQ、手机微信、加密货币
XCSSET最开始是趋势科技在2020年8月发觉的一款Mac恶意软件,它根据Xcode新项目散播,并运用2个零日漏洞来从总体目标系统软件窃取比较敏感信息内容并进行勒索病毒进攻。
趋势科技称,再次制定的XCSSET可以窃取流行应用软件数据信息,例如Evernote、Skype、Notes、QQ、手机微信和Telegram,还会捕获屏幕截屏,并将失窃的文本文档传送到网络攻击网络服务器。
该恶意软件还会开展敲诈勒索,它可以对文件加密并弹出来保释金表明。XCSSET可以进行通用性跨站脚本攻击(UXSS),在客户浏览特殊网址时为电脑浏览器引入JavaScript编码。 这种做法促使恶意程序可以更换加密货币买卖方式,并窃取在线客服的凭据,如amoCRM、Apple ID、Google、Paypal、SIPMarket和Yandex;还能够窃取苹果商店的银行卡信息。
趋势科技各自在7月13日和31日发觉了2个引入XCSSET Mac 恶意软件的Xcode新项目。
2022年3月,诺顿杀毒软件科学研究工作人员发觉了XCSSET的新变异,该变种是对于苹果新M1芯片的机器设备编译程序的。
“在探寻XCSSET的各种各样可实行控制模块时,大家发觉在其中一些控制模块还包括专业为M1芯片编译程序的样版。 例如,一个MD5散列入914e49921c19fffd7443deee6ee161a4的实例包括二种构架:x86_64和ARM64。”诺顿杀毒软件在汇报中表明。
“第一种构架对于武器装备上一代intel芯片的Mac机器设备,第二种对于ARM64构架实现了编译程序,它可以在配置M1芯片的设施上运作。”
诺顿杀毒软件剖析的样版已经在2021-02-24 21:06:05上传入VirusTotal。与趋势科技剖析的样品不一样,此组合包括上边的散列或一个名叫“metald”的控制模块,它也是可执行程序的名字。
趋势科技科学研究技术人员保证了XCSSET完成的新作用和合理负荷的详细资料,例如应用名叫“trendmicroano [.] com”的新域做为C&C网络服务器。
下列活跃性的C&C域和IP地址94 [.] 130 [.] 27 [.] 189同样:
- Titian [.] com
- Findmymacs [.] com
- Statsmag [.] com
- Statsmag [.] xyz
- Adoberelations [.] com
- Trendmicronano [.]com
别的变更已运用于bootstrap.applescript控制模块,该模块包括启用别的故意AppleScript控制模块的逻辑性。在其中一个关键转变与客户名叫“apple_mac”的机器设备相关,该机器设备配置M1芯片的电子计算机,用以检测新的含有ARM构造的Mach-O文档,是不是可以在M1机器设备上正常的运作。
乱用Safari载入侧门
依据趋势科技公布的最新报告,XCSSET不断乱用Safari电脑浏览器的开发设计版本号,运用通用性跨站脚本攻击将JavaScript侧门嵌入网址。
“正如我们在第一份技术性介绍中提及的那般,此恶意软件运用Safari的开发设计版本号从C&C网络服务器载入故意的Safari架构和相应的JavaScript侧门。它在C&C网络服务器上代管Safari升级软件包,随后依据客户的电脑操作系统版本号免费下载和安装文件。为了更好地融入新发表的Big Sur,该恶意软件还加上了Safari 14的新包。”趋势科技在汇报种写到 。 “正如我们在safari_remote.applescript中留意到的那般,它会按照客户当下的网页和电脑操作系统版本号免费下载对应的Safari包。”
科学研究员工对来源于agent.php的全新JavaScript编码剖析后发觉,该恶意软件可以从下列网站窃取商业秘密数据信息:
- 163.com
- Huobi
- binance.com
- nncall.net
- Envato
- login.live.com
例如,在加密货币平台交易Huobi,恶意软件可以窃取账号信息内容并拆换客户的加密货币钱夹中的收付款途径。
M1芯片遭受愈来愈多的恶意软件
第一个对于M1芯片的恶意软件是广告宣传派发应用软件GoSearch22,在2021年2月19日被公布。它是Pirrit广告宣传恶意软件的组合,可以装扮成合理合法的Safari浏览器扩展程序流程,默默地搜集访问数据信息并投入很多广告宣传,例如条幅和弹出广告,包含一些连接到异常网址并派发别的恶意软件的广告宣传內容。
不上一周,第二个已经知道的对于M1的恶意软件“Silver Sparrow”被公布。它被编译成原生态运作在M1 Mac上。听说这一故意包运用macOS Installer JavaScript API实行异常的指令,那时候"Silver Sparrow"感染了153个我国的29139台macOS系统软件,主要包括 "英国、法国、澳大利亚、波兰和俄罗斯的很多验出"。