Zeer gevaarlijke Mac malware ontdekt, die veel gegevens buitmaakt

Gepubliceerd op 19 augustus 2020 om 11:51
Zeer gevaarlijke Mac malware ontdekt, die veel gegevens buitmaakt

Cybersecurity onderzoekers van Trend Micro hebben nieuwe 'Mac-malware' ontdekt binnen macOS.

Deze verspreidt zich via Xcode-projecten en steelt vervolgens wachtwoorden, cookies en andere data. Ook opent deze malware een achterdeur waar op verschillende manieren misbruik van gemaakt kan worden.

Mac XCSSET-malware

De 'XCSSET-malware'  is aangetroffen in Xcode-projecten, "wat leidde tot een konijnenhol van kwaadaardige ladingen", zei Trend Micro donderdag. 

In een rapport waarin de golf van aanvallen wordt onderzocht, vertelde cybersecurity onderzoekers dat een "ongebruikelijke" infectie in het project van een ontwikkelaar ook de ontdekking van twee zero-day-kwetsbaarheden omvatte. 

Xcode is een gratis geïntegreerde ontwikkelomgeving (IDE) die in macOS wordt gebruikt voor het ontwikkelen van Apple-gerelateerde software en apps.

Hoewel het nog niet duidelijk is hoe XCSSET zich een weg baant in Xcode-projecten, zegt Trend Micro dat eenmaal de malware binnen is gedrongen het vervolgens wordt uitgevoerd wanneer een project wordt gebouwd. 

"Vermoedelijk zouden deze systemen voornamelijk door ontwikkelaars worden gebruikt", merkte het team op. "Deze Xcode-projecten zijn zodanig aangepast dat deze projecten bij het bouwen schadelijke code zouden uitvoeren. Dit leidt er uiteindelijk toe dat de belangrijkste XCSSET-malware wordt verwijderd en op het getroffen systeem wordt uitgevoerd."

Getroffen ontwikkelaars

Een aantal getroffen ontwikkelaars hebben hun projecten op GitHub gedeeld, wat volgens de onderzoekers zou kunnen resulteren in "supply chain-achtige aanvallen voor gebruikers die op deze repositories vertrouwen als afhankelijkheden in hun eigen projecten."

Eenmaal op een kwetsbaar systeem, werkt XCSSET in op browsers, waaronder de ontwikkelingsversie van Safari, en gebruikt het kwetsbaarheden om gebruikersgegevens te stelen. 

In het geval van Safari is de eerste van de twee bugs een fout in Data Vault. Er is een bypass-methode gevonden die de bescherming omzeilt die macOS biedt voor Safari-cookie bestanden via SSHD.

Appel Safari

De tweede opmerkelijke kwetsbaarheid is te wijten aan de manier waarop Safari WebKit werkt. Normaal gesproken vereist het starten van de kit dat een gebruiker zijn wachtwoord invoert, maar er is een bypass gevonden die kan worden gebruikt om kwaadaardige bewerkingen uit te voeren via de Safari-browser zonder sandbox. Het lijkt ook mogelijk om een ​​Dylib-kaping uit te voeren.  

Door de beveiligingsproblemen kunnen Safari-cookies worden gelezen en gedumpt, en deze gegevenspakketten worden vervolgens gebruikt om op JavaScript gebaseerde achterdeurtjes in weergegeven pagina's te injecteren via een Universal Cross-site Scripting (UXSS) -aanval.

Trend Micro gelooft dat het UXSS-element van de aanvalsketen niet alleen kan worden gebruikt om algemene gebruikersinformatie te stelen, maar ook als middel om browser sessies aan te passen om kwaadaardige websites weer te geven, adressen van cryptocurrency-portefeuilles te wijzigen, Apple Store-creditcardgegevens te verzamelen en inloggegevens te stelen. van bronnen zoals Apple ID, Google, Paypal en Yandex.

Malware kan veel gegevens stelen

De malware kan ook een verscheidenheid aan andere gebruikersgegevens stelen, waaronder Evernote-inhoud, Notes-informatie en communicatie van Skype-, Telegram-, QQ- en WeChat-applicaties. 

Bovendien kan XCSSET screenshots maken, gegevens exfiltreren en gestolen bestanden naar een command-and-control-server (C2) sturen, en bevat het ook een ransomware module voor bestandscodering en chantage-berichten. 

Er zijn slechts twee Xcode-projecten gevonden die de malware herbergen, samen met 380 slachtoffer-IP's - de meeste bevinden zich in China en India - maar de infectievector is nog steeds van belang.  

"De gebruikte distributiemethode kan alleen maar als slim worden omschreven", zegt Trend Micro. "Betrokken ontwikkelaars zullen het kwaadaardige Trojaanse paard onbewust verspreiden onder hun gebruikers in de vorm van de gecompromitteerde Xcode-projecten, en methoden om het gedistribueerde bestand te verifiëren (zoals het controleren van hashes) zouden niet helpen, aangezien de ontwikkelaars niet zouden weten dat ze kwaadaardige bestanden verspreiden. "

ZDNet heeft contact opgenomen met Trend Micro en Apple met aanvullende vragen en zal updaten wanneer we terug horen. 

Advies

Trend Micro adviseert gebruikers om alleen apps te downloaden van officiële en betrouwbare locaties. Ook hebben ze een lijst met zogenaamde indicators of compromise gedeeld. Dit is data in een systeemlog of bestand waaraan je kan zien of je bent getroffen door de desbetreffende malware.

XCSSET Technical Brief
PDF – 2,1 MB 341 downloads

Bron: trendmicro.com, zdnet.com