Специалисты Microsoft Threat Intelligence сообщили о появлении новой модификации вредоносной программы XCSSET, которая пока замечена только в ограниченных атаках, но уже обзавелась свежим набором фишек.
Напомним, XCSSET — это модульный троян для macOS, который ворует заметки, данные браузеров и криптокошельков, а ещё умеет подменять Xcode-проекты.
То есть заражённый проект, если его открыть и собрать, сам запускает вредоносный код. Такой трюк опасен тем, что разработчики часто делятся проектами между собой, и вредонос может распространяться почти «незаметно».
Что изменилось в новой версии:
- теперь XCSSET умеет тянуть данные из Firefox — для этого он ставит модифицированную сборку утилиты HackBrowserData, которая расшифровывает и выгружает данные;
- обновлён компонент для перехвата буфера обмена: зловред отслеживает, когда пользователь копирует криптоадрес, и подменяет его на свой — в итоге переводы улетают напрямую злоумышленникам;
- появились новые механизмы закрепления в системе: например, создание записей LaunchDaemon и подмена системных приложений (фейковая System Settings.app в /tmp).
Пока атаки носят точечный характер, но Microsoft уже поделилась находками с Apple и GitHub, чтобы те помогли ограничить распространение.
Что делать разработчикам и пользователям:
- держать macOS и приложения в актуальном состоянии — ранее XCSSET уже использовал даже 0-day уязвимости;
- всегда внимательно проверять Xcode-проекты перед сборкой, особенно если они пришли от коллег или сторонних источников.
