Mac 惡意程式 XCSSET:感染 Xcode 專案,對 Safari 與其他瀏覽器發動 UXSS 攻擊並利用零時差漏洞

最近趨勢科技發現一種罕見的感染手法,專門感染 Xcode 開發專案。經過進一步調查之後,我們在某開發人員的 Xcode 專案中發現了原始惡意程式,深入追查之後更找到其他惡意檔案。在這調查過程當中,最值得注意的是我們發現了兩個零時差漏洞攻擊手法:其中一個是利用 Data Vault 的某個缺陷來竊取瀏覽器的 Cookie;另一個則是用來操控開發版本的 Safari 瀏覽器執行惡意行為。

此威脅比尋常,因為其惡意程式碼是注入於本地端 Xcode 專案當中,因此當該專案在產生應用程式時就會執行惡意程式碼,這對 Xcode 開發人員來說尤其特別危險。當我們發現受害的開發人員將其專案分享到 GitHub 之後,此威脅也隨之升高,使用者若將此專用應用到自己的開發專案當中,會造成類似供應鏈攻擊的效果。此外,我們也從 VirusTotal 之類的來源發現到此威脅,表示這項威脅已經擴散開來。

以下摘要說明我們對此威脅的分析結果,詳細攻擊細節請參閱相關技術摘要。首先,我們將此惡意程式命名為「TrojanSpy.MacOS.XCSSET.A」其幕後操縱 (C&C) 相關檔案命名為「 Backdoor.MacOS.XCSSET.A」。

此惡意程式主要經由 Xcode 專案以及從此惡意程式所衍生的應用程式散布。目前還不清楚惡意程式一開始是如何進入被感染的系統,因為照理講這些系統主要開發人員在使用。這些 Xcode 專案已遭修改,因此當專案在產生應用程式時就會執行惡意程式碼,進而使得 XCSSET 的主要惡意程式被植入到受害系統上執行。此外,受害使用者的登入憑證、帳號以及其他重要資料也可能遭竊。

XCSSET 進入受害系統之後可能出現以下行為:

  • 發動漏洞攻擊,利用現有的 Safari 和系統上安裝的其他瀏覽器來竊取使用者資料。尤其它可以:
    • 利用某個漏洞來讀取和擷取 Safari 的 Cookie。
    • 使用開發版本的 Safari 經由通用跨網站腳本 (UXSS) 攻擊來注入 JavaScript 後門程式到網站上。
  • 從使用者的 Evernote、Notes、Skype、Telegram、QQ 以及 WeChat 應用程式竊取資訊。
  • 擷取使用者當前螢幕畫面的截圖。
  • 從受害的電腦上傳檔案到駭客指定的伺服器。
  • 將接收到該伺服器的指令時,將使用者的檔案加密然後顯示勒索訊息。

UXSS 攻擊理論上幾乎可以任意修改使用者的瀏覽器體驗,因為它可注入任意的 JavaScript 程式碼,可修改的項目包括:

  • 修改顯示的網站。
  • 修改/更換比特幣/虛擬加密貨幣的錢包位址。
  • 竊取 amoCRM、Apple ID、Google、Paypal、SIPMarket 及 Yandex 登入憑證。
  • 從 Apple Store 竊取信用卡資訊。
  • 攔截使用者的密碼變更,卻又竊取修改後的新密碼。
  • 擷取某些被瀏覽網站的畫面截圖。

歹徒使用的散布方法可說相當聰明,受害的開發人員會在不知情的狀況下將這個木馬程式傳染給使用他們 Xcode 專案的使用者,而且一些檔案查驗機制 (如檢查雜湊碼) 也發揮不了作用,因為開發人員不曉得自己正在散播惡意檔案。

有關這項攻擊的進一步細節,請參閱相關技術摘要

趨勢科技解決方案

要防範這類型的攻擊,使用者最好只從官方或合法市集下載應用程式。除此之外,一般使用者可採用像 PC-cillin for Mac 這類多層式防護產品來提供完整的防護並保護多重裝置以防範網路威脅。

企業機構可採用以 趨勢科技 XGen™ 防護為基礎的趨勢科技Smart Protection Suite 這套融合跨世代威脅防禦技巧與高準度機器學習(Machine learning,ML)的防護,來防止任何使用者活動或任何端點裝置所帶來的資安漏洞。

入侵指標資料

SHA256檔案名稱偵測
6fa938770e83ef2e177e8adf4a2ea3d2d5b26107c30f9d85c3d1a557db2aed41main.scptTrojanSpy.MacOS.XCSSET.A
7e5343362fceeae3f44c7ca640571a1b148364c4ba296ab6f8d264fc2c62cb61main.scptTrojanSpy.MacOS.XCSSET.A
857dc86528d0ec8f5938680e6f89d846541a41d62f71d003b74b0c55d645cda7main.scptTrojanSpy.MacOS.XCSSET.A
6614978ab256f922d7b6dbd7cc15c6136819f4bcfb5a0fead480561f0df54ca6xcassetsTrojanSpy.MacOS.XCSSET.A
ac3467a04eeb552d92651af1187bdc795100ea77a7a1ac755b4681c654b54692xcassetsTrojanSpy.MacOS.XCSSET.a
d11a549e6bc913c78673f4e142e577f372311404766be8a3153792de9f00f6c1xcassetsTrojanSpy.MacOS.XCSSET.A
532837d19b6446a64cb8b199c9406fd46aa94c3fe41111a373426b9ce59f56f9speeddBackdoor.MacOS.XCSSET.A
4f78afd616bfefaa780771e69a71915e67ee6dbcdc1bc98587e219e120f3ea0dfirefoxdBackdoor.MacOS.XCSSET.A
819ba3c3ef77d00eae1afa8d2db055813190c3d133de2c2c837699a0988d6493operadBackdoor.MacOS.XCSSET.A
73f203b5e37cf34e51f7bf457b0db8e4d2524f81e41102da7a26f5590ab32cd9yandexdBackdoor.MacOS.XCSSET.A
ccc2e6de03c0f3315b9e8e05967fcc791d063a392277f063980d3a1b39db2079EdgeBackdoor.MacOS.XCSSET.A
6622887a849b503b120cfef8cd76cd2631a5d0978116444a9cb92b1493e42c29bravedBackdoor.MacOS.XCSSET.A
32fa0cdb46f204fc370c86c3e93fa01e5f5cb5a460407333c24dc79953206443agentdBackdoor.MacOS.XCSSET.A
924a89866ea55ee932dabb304f851187d97806ab60865a04ccd91a0d1b992246agentd-killBackdoor.MacOS.XCSSET.A
af3a2c0d14cc51cc8615da4d99f33110f95b7091111d20bdba40c91ef759b4d7agentd-logBackdoor.MacOS.XCSSET.A
534f453238cfc4bb13fda70ed2cda701f3fb52b5d81de9d8d00da74bc97ec7f6dskwalpTrojan.MacOS.XCSSET.A
172eb05a2f72cb89e38be3ac91fd13929ee536073d1fe576bc8b8d8d6ec6c262chkdskTrojan.MacOS.XCSSET.A
a238ed8a801e48300169afae7d27b5e49a946661ed91fab4f792e99243fbc28dPods_shadTrojan.MacOS.XCSSET.A
Mac 惡意程式 XCSSET:感染 Xcode 專案,對 Safari 與其他瀏覽器發動 UXSS 攻擊並利用零時差漏洞 最近趨勢科技發現一種罕見的感染手法,專門感染 Xcode 開發專案。經過進一步調查之後,我們在某開發人員的 Xcode 專案中發現了原始惡意程式,深入追查之後更找到其他惡意檔案。在這調查過程當中,最值得注意的是我們發現了兩個零時差漏洞攻擊手法:其中一個是利用 Data Vault 的某個缺陷來竊取瀏覽器的 Cookie;另一個則是用來操控開發版本的 Safari 瀏覽器執行惡意行為。 此威脅比尋常,因為其惡意程式碼是注入於本地端 Xcode 專案當中,因此當該專案在產生應用程式時就會執行惡意程式碼,這對 Xcode 開發人員來說尤其特別危險。當我們發現受害的開發人員將其專案分享到 GitHub 之後,此威脅也隨之升高,使用者若將此專用應用到自己的開發專案當中,會造成類似供應鏈攻擊的效果。此外,我們也從 VirusTotal 之類的來源發現到此威脅,表示這項威脅已經擴散開來。 以下摘要說明我們對此威脅的分析結果,詳細攻擊細節請參閱相關技術摘要。首先,我們將此惡意程式命名為「TrojanSpy.MacOS.XCSSET.A」其幕後操縱 (C&C) 相關檔案命名為「 Backdoor.MacOS.XCSSET.A」。 此惡意程式主要經由 Xcode 專案以及從此惡意程式所衍生的應用程式散布。目前還不清楚惡意程式一開始是如何進入被感染的系統,因為照理講這些系統主要開發人員在使用。這些 Xcode 專案已遭修改,因此當專案在產生應用程式時就會執行惡意程式碼,進而使得 XCSSET 的主要惡意程式被植入到受害系統上執行。此外,受害使用者的登入憑證、帳號以及其他重要資料也可能遭竊。 XCSSET 進入受害系統之後可能出現以下行為: • 發動漏洞攻擊,利用現有的 Safari 和系統上安裝的其他瀏覽器來竊取使用者資料。尤其它可以: • 利用某個漏洞來讀取和擷取 Safari 的 Cookie。 • 使用開發版本的 Safari 經由通用跨網站腳本 (UXSS) 攻擊來注入 JavaScript 後門程式到網站上。 • 從使用者的 Evernote、Notes、Skype、Telegram、QQ 以及 WeChat 應用程式竊取資訊。 • 擷取使用者當前螢幕畫面的截圖。 • 從受害的電腦上傳檔案到駭客指定的伺服器。 • 將接收到該伺服器的指令時,將使用者的檔案加密然後顯示勒索訊息。UXSS 攻擊理論上幾乎可以任意修改使用者的瀏覽器體驗,因為它可注入任意的 JavaScript 程式碼,可修改的項目包括: • 修改顯示的網站。 • 修改/更換比特幣/虛擬加密貨幣的錢包位址。 • 竊取 amoCRM、Apple ID、Google、Paypal、SIPMarket 及 Yandex 登入憑證。 • 從 Apple Store 竊取信用卡資訊。 • 攔截使用者的密碼變更,卻又竊取修改後的新密碼。 • 擷取某些被瀏覽網站的畫面截圖。歹徒使用的散布方法可說相當聰明,受害的開發人員會在不知情的狀況下將這個木馬程式傳染給使用他們 Xcode 專案的使用者,而且一些檔案查驗機制 (如檢查雜湊碼) 也發揮不了作用,因為開發人員不曉得自己正在散播惡意檔案。 有關這項攻擊的進一步細節,請參閱相關技術摘要。 趨勢科技解決方案 要防範這類型的攻擊,使用者最好只從官方或合法市集下載應用程式。除此之外,一般使用者可採用像 PC-cillin for Mac 這類多層式防護產品來提供完整的防護並保護多重裝置以防範網路威脅。 企業機構可採用以差勁趨勢科技 XGen™ 防護為基礎的趨勢科技Smart Protection Suite 這套融合跨世代威脅防禦技巧與高準度機器學習(Machine learning,ML)的防護,來防止任何使用者活動或任何端點裝置所帶來的資安漏洞。 入侵指標資料 SHA256 檔案名稱 偵測 6fa938770e83ef2e177e8adf4a2ea3d2d5b26107c30f9d85c3d1a557db2aed41 main.scpt TrojanSpy.MacOS.XCSSET.A 7e5343362fceeae3f44c7ca640571a1b148364c4ba296ab6f8d264fc2c62cb61 main.scpt TrojanSpy.MacOS.XCSSET.A 857dc86528d0ec8f5938680e6f89d846541a41d62f71d003b74b0c55d645cda7 main.scpt TrojanSpy.MacOS.XCSSET.A 6614978ab256f922d7b6dbd7cc15c6136819f4bcfb5a0fead480561f0df54ca6 xcassets TrojanSpy.MacOS.XCSSET.A ac3467a04eeb552d92651af1187bdc795100ea77a7a1ac755b4681c654b54692 xcassets TrojanSpy.MacOS.XCSSET.a d11a549e6bc913c78673f4e142e577f372311404766be8a3153792de9f00f6c1 xcassets TrojanSpy.MacOS.XCSSET.A 532837d19b6446a64cb8b199c9406fd46aa94c3fe41111a373426b9ce59f56f9 speedd Backdoor.MacOS.XCSSET.A 4f78afd616bfefaa780771e69a71915e67ee6dbcdc1bc98587e219e120f3ea0d firefoxd Backdoor.MacOS.XCSSET.A 819ba3c3ef77d00eae1afa8d2db055813190c3d133de2c2c837699a0988d6493 operad Backdoor.MacOS.XCSSET.A 73f203b5e37cf34e51f7bf457b0db8e4d2524f81e41102da7a26f5590ab32cd9 yandexd Backdoor.MacOS.XCSSET.A ccc2e6de03c0f3315b9e8e05967fcc791d063a392277f063980d3a1b39db2079 Edge Backdoor.MacOS.XCSSET.A 6622887a849b503b120cfef8cd76cd2631a5d0978116444a9cb92b1493e42c29 braved Backdoor.MacOS.XCSSET.A 32fa0cdb46f204fc370c86c3e93fa01e5f5cb5a460407333c24dc79953206443 agentd Backdoor.MacOS.XCSSET.A 924a89866ea55ee932dabb304f851187d97806ab60865a04ccd91a0d1b992246 agentd-kill Backdoor.MacOS.XCSSET.A af3a2c0d14cc51cc8615da4d99f33110f95b7091111d20bdba40c91ef759b4d7 agentd-log Backdoor.MacOS.XCSSET.A 534f453238cfc4bb13fda70ed2cda701f3fb52b5d81de9d8d00da74bc97ec7f6 dskwalp Trojan.MacOS.XCSSET.A 172eb05a2f72cb89e38be3ac91fd13929ee536073d1fe576bc8b8d8d6ec6c262 chkdsk Trojan.MacOS.XCSSET.A a238ed8a801e48300169afae7d27b5e49a946661ed91fab4f792e99243fbc28d Pods_shad Trojan.MacOS.XCSSET.A IP/網域 WRS 動作 hxxps://adobestats.com/ 攔截並分類為 C&C 伺服器 hxxps://flixprice.com/ 攔截並分類為 C&C 伺服器 46.101.126.33 攔截並分類為 C&C 伺服器原文出處:XCSSET Mac Malware:Infects Xcode Projects, Performs UXSS Attack on Safari, Other Browsers, Leverages Zero-day Exploits 作者:Mac 威脅回應與行動威脅研究團隊
IP/網域WRS 動作
hxxps://adobestats.com/攔截並分類為 C&C 伺服器
hxxps://flixprice.com/攔截並分類為 C&C 伺服器
46.101.126.33攔截並分類為 C&C 伺服器

原文出處:XCSSET Mac Malware:Infects Xcode Projects, Performs UXSS Attack on Safari, Other Browsers, Leverages Zero-day Exploits 作者:Mac 威脅回應與行動威脅研究團隊

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用 ,分享使用心得,還可抽 iPhone

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FBIGYoutubeLINE官網