苹果推出M1芯片已经快半年了,但针对该芯片的恶意软件层出不穷,从GoSearch22到SilverSparrow到最新的XCSSET。即便是最新的恶意软件XCSSET,不仅可以攻击M1芯片,还可以窃取QQ、微信等主流应用的数据。4月19日,趋势科技专家发现,原本针对苹果开发者的恶意软件XCSSET经过重新设计,针对搭载苹果M1芯片的新产品。此外,该软件还为加密货币应用程序实现了数据窃取功能。为M1、QQ、微信、加密货币重新设计的XCSSETXCSSET最初是趋势科技于2020年8月发现的Mac恶意软件,通过Xcode项目传播并利用两个零日漏洞从目标系统信息中窃取敏感数据并发起勒索软件攻击。根据趋势科技的说法,经过重新设计的XCSSET可以从Evernote、Skype、Notes、QQ、WeChat和Telegram等主流应用程序中窃取数据,还可以截取屏幕截图并将窃取的文档传输到攻击者服务器。该恶意软件还会勒索赎金,它会加密文件并弹出赎金通知。XCSSET可以发起通用跨站点脚本攻击(UXSS),在用户访问特定网站时将JavaScript代码注入浏览器。这种行为使恶意代码能够取代加密货币交易路线并窃取amoCRM、AppleID、Google、Paypal、SIPMarket和Yandex等在线服务的凭据;它还可以窃取AppleStores的银行卡信息。趋势科技在7月13日和31日分别发现了两个注入了XCSSSETMac恶意软件的Xcode项目。今年3月,卡巴斯基研究人员发现了XCSSSET的一个新变体,该变体是为配备苹果新M1芯片的设备编译的。“在探索XCSSET的各种可执行模块时,我们发现其中一些还包含专门为M1芯片编译的样本。例如,一个MD5哈希值为914e49921c19fffd7443deee6ee161a4的样本包含两种架构:x86_64和ARM64。”卡巴斯基在报告中指出。“第一种架构针对搭载上一代Intel芯片的Mac设备,第二种是针对ARM64架构编译的,可以在搭载M1芯片的设备上运行。“卡巴斯基分析的样本于2021-02-2421:06:05上传到VirusTotal。与趋势科技分析的样本不同,该变体包含上述哈希值或名为“metald”的模块,它也是可执行文件的名称.趋势科技研究人员提供了XCSSET实现的新功能和有效负载的详细信息,例如使用名为“trendmicroano[.]com”的新域作为C&C服务器。活动的C&C域和IP与地址94[.]130[相同。]27[.]189:Titian[.]comFindmymacs[.]comStatsmag[.]comStatsmag[.]xyzAdob??erelations[.]comTrendmicronano[.]combootstrap.applescript模块中应用的其他更改,其中包含逻辑调用其他恶意AppleScript模块,其中一个主要变化与用户名为“apple_mac”的设备有关,这是一台带有M1芯片的计算机,用于测试新的ARM架构Mach-O文件是否可以在M1设备上正常运行.滥用Safari加载后门根据趋势科技发布的最新报告,XCSSET继续s滥用Safari浏览器的开发版本,使用常见的跨站点脚本攻击将JavaScript后门注入网站。”正如我们在第一份技术简报中提到的,该恶意软件利用Safari的开发版本从C&C服务器加载恶意Safari框架和相关的JavaScript后门。它在C&C服务器上托管Safari更新包,然后根据用户的操作系统版本。为了适应新发布的BigSur,该恶意软件还为Safari14添加了一个新的软件包。”趋势科技在报告中写道。“正如我们在safari_remote.applescript中观察到的,它会根据用户当前的浏览器和操作系统版本下载相应的Safari包。对agent.php最新JavaScript代码的分析表明,该恶意软件能够从以下位置窃取机密数据:163.comHuobibinance.comnncall.netEnvatologin.live.com例如,在加密货币交易平台火币上,恶意软件能够在用户的加密货币钱包中窃取帐户信息并重新路由付款。M1芯片遭遇越来越多的恶意软件3月19日披露,它是Pirrit广告恶意软件的变种,可以伪装成合法的Safari浏览器扩展程序,悄悄收集浏览数据并投放大量广告,例如横幅和弹出式广告。ups,包括一些链接到可疑网站和分发其他恶意软件的广告内容。在不到一周的时间里,第二个已知的针对M1的恶意软件“SilverSparrow”被披露。它被编译为在M1Mac上本地运行。据称,该恶意包利用macOSInstallerJavaScriptAPI执行可疑命令,当时“SilverSparrow”感染了153个国家/地区的29,139个macOS系统,其中包括“在美国、英国、加拿大、法国和德国的大量检测”。
