phpxcs进击技巧_苹果M1芯片再遭恶意软件进击你微信QQ钱包里的钱正在被偷偷拿走

苹果推出M1芯片已经将近半年，但针对该芯片的恶意软件从GoSearch22到Silver Sparrow再到最近的XCSSET，层出不穷。
乃至最新的恶意软件XCSSET不仅可以攻击M1芯片，还可以盗取QQ、微信等主流运用的数据。

4月19日，趋势科技（Trend Micro）专家创造，原来针对苹果开拓职员的恶意软件XCSSET，现已重新设计，瞄上了装载苹果M1芯片的新产品。
此外，该软件还实现了针对加密货币运用的数据盗取功能。

XCSSET重新设计，针对M1、QQ、微信、加密货币

XCSSET最初是趋势科技在2020年8月创造的一款Mac恶意软件，它通过Xcode项目传播，并利用两个零日漏洞来从目标系统盗取敏感信息并发起打单软件攻击。

趋势科技称，重新设计的XCSSET可以盗取主流运用程序数据，例如Evernote、Skype、Notes、QQ、微信和Telegram，还会捕捉屏幕截图，并将被盗的文档传输到攻击者做事器。

该恶意软件还会进行打单，它能够对文件加密并弹出赎金解释。
XCSSET可以发起通用跨站脚本攻击（UXSS），在用户访问特定网站时向浏览器注入JavaScript代码。
这种行为使得恶意代码能够更换加密货币交易路子，并盗取在线做事的凭据，如amoCRM、Apple ID、Google、Paypal、SIPMarket和Yandex；还可以盗取苹果商店的银行卡信息。

趋势科技分别在7月13日和31日创造了两个注入XCSSET Mac 恶意软件的Xcode项目。

今年3月，卡巴斯基研究职员创造了XCSSET的新变种，该变种是针对苹果新M1芯片的设备编译的。

“在探索XCSSET的各种可实行模块时，我们创造个中一些模块还包含专门为M1芯片编译的样本。
例如，一个MD5散列为914e49921c19fffd7443deee6ee161a4的示例包含两种架构：x86_64和ARM64。
”卡巴斯基在报告中表示。

“第一种架构针对装备上一代英特尔芯片的Mac设备，第二种针对ARM64架构进行了编译，它可以在配备M1芯片的设备上运行。
”

卡巴斯基剖析的样本已于2021-02-24 21:06:05上传到VirusTotal。
与趋势科技剖析的样天职歧，此变体包含上面的散列或一个名为“metald”的模块，它也是可实行文件的名称。

趋势科技研究职员供应了XCSSET实现的新功能和有效负载的详细信息，例如利用名为“trendmicroano [.] com”的新域作为C＆C做事器。

以下生动的C＆C域和IP地址94 [.] 130 [.] 27 [.] 189相同：

Titian [.] com

Findmymacs [.] com

Statsmag [.] com

Statsmag [.] xyz

Adoberelations [.] com

Trendmicronano [.]com

其他变动已运用于bootstrap.applescript模块，该模块包含调用其他恶意AppleScript模块的逻辑。
个中一个紧张变革与用户名为“apple_mac”的设备有关，该设备配备M1芯片的打算机，用于测试新的带有ARM构造的Mach-O文件，是否可以在M1设备上正常运行。

滥用Safari加载后门

根据趋势科技发布的最新报告，XCSSET持续滥用Safari浏览器的开拓版本，利用通用跨站脚本攻击将JavaScript后门植入网站。

“正如我们在第一份技能简介中提到的那样，此恶意软件利用Safari的开拓版本从C＆C做事器加载恶意的Safari框架和干系的JavaScript后门。
它在C＆C做事器上托管Safari更新程序包，然后根据用户的操作系统版本下载和安装包。
为了适应新发布的Big Sur，该恶意软件还添加了Safari 14的新包。
”趋势科技在报告种写道 。
“正如我们在safari_remote.applescript中不雅观察到的那样，它会根据用户当前的浏览器和操作系统版本下载相应的Safari包。
”

研究职员对来自agent.php的最新JavaScript代码剖析后创造，该恶意软件能够从以下站点盗取机密数据：

163.com

Huobi

binance.com

nncall.net

Envato

login.live.com

例如，在加密货币交易平台Huobi，恶意软件能够盗取帐户信息并改换用户的加密货币钱包中的收款路径。

首个针对M1芯片的恶意软件是广告分发运用程序GoSearch22，在2021年2月19日被表露。
它是Pirrit广告恶意软件的变体，可以伪装成合法的Safari浏览器扩展程序，默默网络浏览数据并投放大量广告，例如横幅和弹出窗口，包括一些链接到可疑网站并分发其他恶意软件的广告内容。

不到一周，第二个已知的针对M1的恶意软件“Silver Sparrow”被表露。
它被编译成原生运行在M1 Mac上。
听说这个恶意包利用macOS Installer JavaScript API实行可疑的命令，当时"Silver Sparrow"传染了153个国家的29139台macOS系统，个中包括 "美国、英国、加拿大、法国和德国的大量检出"。

作者：kirazhou 转载自：freebuf

更多国内外网络安全资讯以及海量干货分享，敬请关注"大众年夜众号：网络安全情报局