Шкідник для macOS, який підміняє біткоїн-адреси, поліпшив скритність

Фахівці Microsoft Threat Intelligence виявили новий варіант шкідливого ПЗ XCSSET для пристроїв на базі macOS, яке може підміняти криптовалютні гаманці. Поширюється малварь через заражені проєкти в середовищі розробки XCode.

Оновлена версія отримала поліпшені методи обфускації, додаткові механізми збереження і стратегії зараження.

Зокрема, як захист від виявлення новий варіант XCSSET використовує більш рандомізований підхід для генерації корисних навантажень для зараження проєктів XCode.

«У той час, як старі варіанти використовували тільки xxd для кодування, останній включає ще й Base64. На рівні коду імена модулів варіанту також заплутані, що ускладнює визначення намірів модулів», — повідомили експерти.

Уперше малварь виявили ще 2020 року. Серед її функцій — можливість робити знімки екрана, записувати дії користувачів, красти відомості з Telegram-акаунтів, дані з додатка Notes, а також системну інформацію і файли.

Крім іншого, XCSSET здатна змінювати та підміняти криптовалютні адреси в різних мережах.

Microsoft зазначив, що оновлений варіант шкідника поки застосовували тільки в «обмежених атаках». Проте компанія вважала за необхідне повідомити організації для запобігання потенційної загрози.

Розробникам рекомендували ретельніше перевіряти будь-які завантажувані проєкти XCode і встановлювати додатки виключно з надійних джерел.

Раніше ForkLog повідомляв, що дослідники виявили викрадач криптоключів у Steam-грі.