Il malware XCSSET diventa ransomware e prende di mira i Mac con chip M1

Il malware XCSSET diventa ransomware e prende di mira i Mac con chip M1

Scoperto nell'estate del 2020, si diffonde tramite progetti Xcode modificati. Ora è stato aggiornato per operare nativamente sui SoC M1 e arricchito con funzionalità di ransomware

di pubblicata il , alle 17:21 nel canale Apple
macOS
 

Nel corso del mese di agosto 2020 è emersa una campagna malware che prendeva di mira gli sviluppatori Xcode, diffondendosi tramite progetti modificati e configurati appositamente per eseguire il payload dannoso. Il malware, facente parte della famiglia XCSSET, è stato ora riconfigurato per aggiungervi anche funzionalità di ransomware e poter funzionare anche sui sistemi equipaggiati con i SoC Apple Silicon M1.

I moduli XCSSET hanno la possibilità di sottrarre credenziali, scattare screenshot dell'attività dell'utente, iniettare JavaScript dannosi, intercettare dati da diverse app e, come accennato sopra, ora può anche crittografare il contenuto del disco di sistema per chiedere un riscatto.

I ricercatori di sicurezza di Kaspersky hanno individuato nel corso del mese passato campioni XCSSET compilati per i nuovi processori M1 di Apple, elemento che indica non solo che la campagna è ancora in essere, ma anche che è in corso una gestione attiva del malware per consentire l'esecuzione nativa sui nuovi sistemi della Mela. La minaccia è stata analizzata anche da Trend Micro, sottolineando che XCSSET continua ad abusare della versione developer del browser Safari così da installare backdoor JavaScript tramite attacchi Universal Cross-site Scripting. Il malware è inoltre noto per sfruttare la modalità di debug remoto dei broswer web, non solo con Safari ma anche con le alternative più note.

Tra le nuove azioni che il malware ha mostrato in questa nuova versione vi è anche il tentativo di furto delle credenziali di accesso a diversi servizi web, comprese le piattaforme per il trading di criptovaluta Huobi, Binance, NNCall.net, Envato e 163.com. In particolare si sottolinea anche la capacità di sostituire l'indirizzo del wallet dell'utente con altri sotto il controllo degli attaccanti.

Ricordiamo che XCSSET si diffonde tramite progetti Xcode modificati, che una volta aperti innescano il payload. Viene consigliata in particolare cautela agli sviluppatori che operano collaborativamente e fanno uso di progetti condivisi tramite GitHub o altri servizi di repository.

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sp3cialFx21 Aprile 2021, 18:33 #1
beh ho letto giusto l'altro ieri di quante applicazioni sono state ricompilate per girare nativamente su M1, arrivate tardi
Axios200621 Aprile 2021, 19:05 #2
Tra le nuove azioni che il malware ha mostrato in questa nuova versione vi è anche il tentativo di furto delle credenziali di accesso a diversi servizi web, comprese le piattaforme per il trading di criptovaluta Huobi, Binance, NNCall.net, Envato e 163.com. In particolare si sottolinea anche la capacità di sostituire l'indirizzo del wallet dell'utente con altri sotto il controllo degli attaccanti.


Eh... le criptovalute sono buone e sicure... Ideali per rubarle e/o chiedere riscatti...
Tedturb022 Aprile 2021, 08:33 #3
le criptovalute non sono valute
nonsidice22 Aprile 2021, 09:15 #4
perchè il furto/pishing dei c/c bancari o postepay non esiste ?
a me arrivano almeno 3 o 4 mail a settimana che dicono "il tuo conto postepay è bloccato, vai su www.tifregoisoldi.com per riabilitarlo"
Gringo [ITF]22 Aprile 2021, 17:27 #5
@nonsidice
COME !!!! ???
www.tifregoisoldi.com.dgyidg.ru
....non è ufficiale di la banca che spedisce anche le lettere ???
ecco perchè mi è arrivata una Raccomandata di Riscatto con ricevuta di ritorno...
la ricevuta si deve firmare? e come consegno i 200.000€ in buoni indicizzati all'inflazione sul indirizzo #BC63735083FF568565467RT565465454CC

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^