Microsoft отмечает опасную вредоносную программу XCSSEt для macOS, нацеленную на разработчиков — будьте осторожны.
Microsoft предупреждает о новой версии известного бэкдора для операционной системы macOS, который расширяет возможности злоумышленников. В последнем отчёте команды Threat Intelligence компании утверждается, что обновлённая версия вредоносного ПО под названием XCSSET используется в “ограниченных атаках”. Разработчики, не подозревавшие об уязвимости, компилировали и запускали свои приложения с помощью этих скомпрометированных проектов, активируя тем самым вредоносное ПО.
После установки внутри системы XCSSET начинает незаметно собирать конфиденциальные данные: файлы cookie браузера, учётные данные и сообщения электронной почты. Кроме того, вредоносная программа захватывает Safari и другие браузеры, внедряя вредоносный код и обходя защитные меры безопасности.
Первоначально XCSSET был замечен в 2020 году и известен прежде всего как инструмент для заражения проектов Xcode — официальной среды разработки от Apple, используемой разработчиками приложений для macOS, iOS, iPadOS, watchOS и tvOS. Спустя пять лет Microsoft обнаружила новую версию этого бэкдора с несколькими значительными изменениями.
Во-первых, XCSSET теперь способен красть данные из браузера Firefox, установив модифицированную сборку открытого инструмента HackBrowserData. Во-вторых, в обновлённой версии есть компонент для захвата буфера обмена — обычная тактика среди киберпреступников для кражи криптовалюты. Если вредоносная программа обнаруживает криптовалютный адрес в буфере обмена, она заменяет его адресом злоумышленника. Это приводит к тому, что когда жертва пытается скопировать и вставить адрес получателя, деньги на самом деле отправляются атакующему.
Наконец, новый метод обеспечения стойкости позволяет XCSSET дольше оставаться скрытым внутри скомпрометированного устройства.
Несмотря на то что вредоносная активность пока ограничена, Microsoft оперативно сообщила о проблеме как Apple, так и GitHub, которые уже работают над удалением связанных с кампанией репозиториев. Это хорошая новость — значит, значительный ущерб ещё не нанесён.
