蘋果推出M1芯片已經(jīng)將近半年，但針對該芯片的惡意軟件從GoSearch22到Silver Sparrow再到最近的XCSSET，層出不窮。甚至最新的惡意軟件XCSSET不僅可以攻擊M1芯片，還可以竊取QQ、微信等主流應(yīng)用的數(shù)據(jù)。

4月19日，趨勢科技(Trend Micro)專家發(fā)現(xiàn)，原先針對蘋果開發(fā)人員的惡意軟件XCSSET，現(xiàn)已重新設(shè)計(jì)，瞄上了裝載蘋果M1芯片的新產(chǎn)品。此外，該軟件還實(shí)現(xiàn)了針對加密貨幣應(yīng)用的數(shù)據(jù)竊取功能。

[[394489]]

XCSSET重新設(shè)計(jì)，針對M1、QQ、微信、加密貨幣

XCSSET最初是趨勢科技在2020年8月發(fā)現(xiàn)的一款Mac惡意軟件，它通過Xcode項(xiàng)目傳播，并利用兩個(gè)零日漏洞來從目標(biāo)系統(tǒng)竊取敏感信息并發(fā)起勒索軟件攻擊。

趨勢科技稱，重新設(shè)計(jì)的XCSSET可以竊取主流應(yīng)用程序數(shù)據(jù)，例如Evernote、Skype、Notes、QQ、微信和Telegram，還會捕捉屏幕截圖，并將被盜的文檔傳輸?shù)焦粽叻?wù)器。

該惡意軟件還會進(jìn)行勒索，它能夠?qū)ξ募用懿棾鲒H金說明。XCSSET可以發(fā)起通用跨站腳本攻擊(UXSS)，在用戶訪問特定網(wǎng)站時(shí)向?yàn)g覽器注入JavaScript代碼。 這種行為使得惡意代碼能夠替換加密貨幣交易途徑，并竊取在線服務(wù)的憑證，如amoCRM、Apple ID、Google、Paypal、SIPMarket和Yandex;還可以竊取蘋果商店的銀行卡信息。

趨勢科技分別在7月13日和31日發(fā)現(xiàn)了兩個(gè)注入XCSSET Mac 惡意軟件的Xcode項(xiàng)目。

今年3月，卡巴斯基研究人員發(fā)現(xiàn)了XCSSET的新變種，該變種是針對蘋果新M1芯片的設(shè)備編譯的。

“在探索XCSSET的各種可執(zhí)行模塊時(shí)，我們發(fā)現(xiàn)其中一些模塊還包含專門為M1芯片編譯的樣本。 例如，一個(gè)MD5散列為914e49921c19fffd7443deee6ee161a4的示例包含兩種架構(gòu)：x86_64和ARM64。”卡巴斯基在報(bào)告中表示。

“第一種架構(gòu)針對裝備上一代英特爾芯片的Mac設(shè)備，第二種針對ARM64架構(gòu)進(jìn)行了編譯，它可以在配備M1芯片的設(shè)備上運(yùn)行。”

卡巴斯基分析的樣本已于2021-02-24 21:06:05上傳到VirusTotal。與趨勢科技分析的樣本不同，此變體包含上面的散列或一個(gè)名為“metald”的模塊，它也是可執(zhí)行文件的名稱。

趨勢科技研究人員提供了XCSSET實(shí)現(xiàn)的新功能和有效負(fù)載的詳細(xì)信息，例如使用名為“trendmicroano [.] com”的新域作為C&C服務(wù)器。

以下活躍的C&C域和IP地址94 [.] 130 [.] 27 [.] 189相同：

• Titian [.] com
• Findmymacs [.] com
• Statsmag [.] com
• Statsmag [.] xyz
• Adoberelations [.] com
• Trendmicronano [.]com

其他更改已應(yīng)用于bootstrap.applescript模塊，該模塊包含調(diào)用其他惡意AppleScript模塊的邏輯。其中一個(gè)主要變化與用戶名為“apple_mac”的設(shè)備有關(guān)，該設(shè)備配備M1芯片的計(jì)算機(jī)，用于測試新的帶有ARM結(jié)構(gòu)的Mach-O文件，是否可以在M1設(shè)備上正常運(yùn)行。

濫用Safari加載后門

根據(jù)趨勢科技發(fā)布的最新報(bào)告，XCSSET持續(xù)濫用Safari瀏覽器的開發(fā)版本，利用通用跨站腳本攻擊將JavaScript后門植入網(wǎng)站。

“正如我們在第一份技術(shù)簡介中提到的那樣，此惡意軟件利用Safari的開發(fā)版本從C&C服務(wù)器加載惡意的Safari框架和相關(guān)的JavaScript后門。它在C&C服務(wù)器上托管Safari更新程序包，然后根據(jù)用戶的操作系統(tǒng)版本下載和安裝包。為了適應(yīng)新發(fā)布的Big Sur，該惡意軟件還添加了Safari 14的新包。”趨勢科技在報(bào)告種寫道 。 “正如我們在safari_remote.applescript中觀察到的那樣，它會根據(jù)用戶當(dāng)前的瀏覽器和操作系統(tǒng)版本下載相應(yīng)的Safari包。”

研究人員對來自agent.php的最新JavaScript代碼分析后發(fā)現(xiàn)，該惡意軟件能夠從以下站點(diǎn)竊取機(jī)密數(shù)據(jù)：

• 163.com
• Huobi
• binance.com
• nncall.net
• Envato
• login.live.com

例如，在加密貨幣交易平臺Huobi，惡意軟件能夠竊取帳戶信息并更換用戶的加密貨幣錢包中的收款路徑。

M1芯片遭遇越來越多的惡意軟件

首個(gè)針對M1芯片的惡意軟件是廣告分發(fā)應(yīng)用程序GoSearch22，在2021年2月19日被披露。它是Pirrit廣告惡意軟件的變體，可以偽裝成合法的Safari瀏覽器擴(kuò)展程序，默默收集瀏覽數(shù)據(jù)并投放大量廣告，例如橫幅和彈出窗口，包括一些鏈接到可疑網(wǎng)站并分發(fā)其他惡意軟件的廣告內(nèi)容。

不到一周，第二個(gè)已知的針對M1的惡意軟件“Silver Sparrow”被披露。它被編譯成原生運(yùn)行在M1 Mac上。據(jù)說這個(gè)惡意包利用macOS Installer JavaScript API執(zhí)行可疑的命令，當(dāng)時(shí)"Silver Sparrow"感染了153個(gè)國家的29139臺macOS系統(tǒng)，其中包括 "美國、英國、加拿大、法國和德國的大量檢出"。