Microsoft: новая версия XCSSET для macOS ворует крипту и данные браузеров

Специалисты Microsoft Threat Intelligence сообщили о появлении новой модификации вредоносной программы XCSSET, которая пока замечена только в ограниченных атаках, но уже обзавелась свежим набором фишек.

Напомним, XCSSET — это модульный троян для macOS, который ворует заметки, данные браузеров и криптокошельков, а ещё умеет подменять Xcode-проекты.

То есть заражённый проект, если его открыть и собрать, сам запускает вредоносный код. Такой трюк опасен тем, что разработчики часто делятся проектами между собой, и вредонос может распространяться почти «незаметно».

Что изменилось в новой версии:

• теперь XCSSET умеет тянуть данные из Firefox — для этого он ставит модифицированную сборку утилиты HackBrowserData, которая расшифровывает и выгружает данные;
• обновлён компонент для перехвата буфера обмена: зловред отслеживает, когда пользователь копирует криптоадрес, и подменяет его на свой — в итоге переводы улетают напрямую злоумышленникам;
• появились новые механизмы закрепления в системе: например, создание записей LaunchDaemon и подмена системных приложений (фейковая System Settings.app в /tmp).

Пока атаки носят точечный характер, но Microsoft уже поделилась находками с Apple и GitHub, чтобы те помогли ограничить распространение.

Что делать разработчикам и пользователям:

• держать macOS и приложения в актуальном состоянии — ранее XCSSET уже использовал даже 0-day уязвимости;
• всегда внимательно проверять Xcode-проекты перед сборкой, особенно если они пришли от коллег или сторонних источников.