Các nhà nghiên cứu an ninh mạng đã phát hiện một biến thể nâng cao của mã độc XCSSET được thiết kế đặc biệt để nhắm mục tiêu vào các nhà phát triển macOS thông qua các dự án Xcode bị nhiễm.

Biến thể mới này giới thiệu các khả năng chiếm quyền clipboard tinh vi và tăng cường khả năng đánh cắp dữ liệu.

Phương thức lây nhiễm và lan truyền của XCSSET

Mã độc XCSSET được thiết kế để lây nhiễm vào các dự án Xcode, vốn thường được các nhà phát triển phần mềm sử dụng.

Mã độc này sẽ thực thi trong quá trình xây dựng dự án Xcode.

Các chuyên gia bảo mật chỉ ra rằng phương thức lây nhiễm và lan truyền này dựa vào việc các tệp dự án được chia sẻ giữa các nhà phát triển ứng dụng Apple hoặc macOS.

Những Nâng cấp Đáng chú ý của Biến thể XCSSET

Biến thể mới này của mã độc XCSSET mang lại những thay đổi đáng kể liên quan đến việc nhắm mục tiêu trình duyệt, chiếm quyền clipboard và các cơ chế duy trì.

Nó sử dụng các kỹ thuật mã hóa và che giấu tinh vi, áp dụng AppleScript được biên dịch chỉ chạy (run-only) để thực thi ngầm.

Đồng thời, nó mở rộng khả năng đánh cắp dữ liệu để bao gồm dữ liệu trình duyệt Firefox.

Mục tiêu trình duyệt được mở rộng

Một trong những cập nhật đáng chú ý là khả năng nhắm mục tiêu vào dữ liệu trình duyệt Firefox.

Điều này cho phép kẻ tấn công thu thập thông tin nhạy cảm từ người dùng Firefox trên các hệ thống macOS bị nhiễm.

Chức năng chiếm quyền Clipboard tinh vi

Phần bổ sung đáng lo ngại nhất là một mô-đun con được thiết kế để liên tục giám sát clipboard.

Mô-đun này tham chiếu đến một tệp cấu hình được tải xuống, chứa các mẫu biểu thức chính quy (regex) địa chỉ liên quan đến các ví tiền điện tử khác nhau.

Quy trình chiếm quyền Clipboard

Nếu một mẫu phù hợp được phát hiện, XCSSET có thể thay thế nội dung clipboard bằng một bộ địa chỉ ví của riêng nó.

Điều này cho phép mã độc chiếm quyền các giao dịch tiền điện tử một cách hiệu quả.

Chức năng chiếm quyền clipboard của mã độc đặc biệt tinh vi.

Nó kiểm tra xem nội dung clipboard có khớp với các mẫu địa chỉ ví tiền điện tử hay không, xác minh ứng dụng hoạt động ở phía trước (frontmost application) chống lại danh sách chặn.

Nó cũng đảm bảo dữ liệu clipboard khác với các mục trước đó. Khi các điều kiện được đáp ứng, nó sẽ thay thế các địa chỉ ví hợp pháp bằng các lựa chọn thay thế do kẻ tấn công kiểm soát.

Mô-đun vexyeqj và mã hóa AES

Biến thể mã độc XCSSET mới nhất tuân theo một chuỗi lây nhiễm gồm bốn giai đoạn, với giai đoạn thứ tư giới thiệu một số mô-đun độc hại mới.

Mô-đun thông tin đánh cắp vexyeqj tải xuống và thực thi một AppleScript được biên dịch chỉ chạy có tên “bnk”.

Tập lệnh này thực hiện giám sát clipboard tinh vi và chiếm quyền ví tiền điện tử.

Mô-đun này sử dụng mã hóa AES với một khóa được mã hóa cứng (hardcoded key): 27860c1670a8d2f3de7bbc74cd754121 để giải mã dữ liệu cấu hình nhận được từ các máy chủ chỉ huy và kiểm soát (C2).

Các Mô-đun Tấn công Dữ liệu mới

Biến thể mã độc XCSSET tiếp tục thể hiện sự tiến hóa liên tục và là một mối đe dọa mạng dai dẳng đối với các nhà phát triển macOS.

Mô-đun iewmilh_cdyd nhắm mục tiêu Firefox

Một mô-đun mới, iewmilh_cdyd, nhắm mục tiêu cụ thể vào dữ liệu trình duyệt Firefox.

Nó tải xuống một phiên bản đã sửa đổi của dự án HackBrowserData.

Tệp nhị phân được biên dịch này có thể trích xuất mật khẩu, lịch sử duyệt web, thông tin thẻ tín dụng và cookie từ các cài đặt Firefox.

Dữ liệu bị đánh cắp được nén thành tệp ZIP và được đưa ra ngoài (exfiltrated) đến các máy chủ C2 theo từng khối.

Chức năng runMe() được gọi lần đầu tiên để tải xuống một tệp nhị phân Mach-O FAT, chịu trách nhiệm cho tất cả các hoạt động đánh cắp thông tin, từ máy chủ C2.

Mô-đun neq_cdyd_ilvcmwx trích xuất tệp

Mô-đun đánh cắp tệp neq_cdyd_ilvcmwx truy xuất các tập lệnh bổ sung từ các máy chủ C2.

Nó hoạt động như một AppleScript đã biên dịch, tương tự như các trình đánh cắp dữ liệu ví trước đây nhưng với khả năng nâng cao để đánh cắp tệp rộng hơn.

Cơ chế Duy trì Quyền truy cập (Persistence) nâng cao

Biến thể mới của XCSSET cũng tăng cường các cơ chế duy trì để làm cho việc phát hiện và gỡ bỏ trở nên khó khăn hơn.

Nó thêm một cơ chế duy trì khác thông qua các mục LaunchDaemon.

Mô-đun xmyyeqjx và LaunchDaemon

Mô-đun xmyyeqjx thiết lập duy trì dựa trên LaunchDaemon bằng cách tạo một tệp ~/.root và các mục plist liên quan.

Cơ chế duy trì này ngụy trang thành các quy trình hệ thống hợp pháp bằng cách sử dụng các tiền tố như “com.google.” trong tên plist.

Mô-đun cũng vô hiệu hóa các bản cập nhật cấu hình tự động của macOS và cơ chế Rapid Security Response, làm suy yếu khả năng phòng thủ của hệ thống.

Mô-đun jey và Persistence dựa trên Git

Ngoài ra, mô-đun jey duy trì tính bền vững dựa trên Git với khả năng che giấu được cải thiện.

Không giống như các biến thể trước đó thực thi việc nối trực tiếp các tải trọng đã mã hóa, phiên bản mới bao bọc logic giải mã trong các hàm shell để tăng cường tính tàng hình.

Các Chỉ số Thỏa hiệp (IOCs)

Dưới đây là các chỉ số thỏa hiệp liên quan đến biến thể mã độc XCSSET này:

• Hardcoded AES Key:27860c1670a8d2f3de7bbc74cd754121
• Module Names:
  • vexyeqj (info-stealer)
  • bnk (AppleScript for clipboard monitoring)
  • iewmilh_cdyd (Firefox data stealer)
  • neq_cdyd_ilvcmwx (file stealer)
  • xmyyeqjx (LaunchDaemon persistence)
  • jey (Git-based persistence)
• Persistence Files/Paths:
  • ~/.root
  • LaunchDaemon .plist entries with “com.google.” prefix

Biện pháp Phòng thủ và Khuyến nghị cho An ninh mạng

Các chuyên gia an ninh khuyến nghị một số biện pháp phòng thủ chống lại mối đe dọa mạng đang phát triển này.

Các tổ chức nên duy trì hệ điều hành và ứng dụng được cập nhật, kiểm tra cẩn thận các dự án Xcode từ các nguồn bên ngoài.

Cần thận trọng khi xử lý dữ liệu clipboard, đặc biệt là các địa chỉ tiền điện tử.

Khuyến nghị của Microsoft

Microsoft khuyến nghị sử dụng các trình duyệt có bảo vệ SmartScreen như Microsoft Edge.

Triển khai Microsoft Defender for Endpoint trên Mac và bật tính năng bảo vệ được phân phối trên đám mây với tính năng gửi mẫu tự động.

Bảo vệ mạng phải được kích hoạt để chặn kết nối đến các miền độc hại liên quan đến chiến dịch này, góp phần tăng cường bảo mật mạng tổng thể.