Эксперты обнаружили новый вариант вредоноса XCSSET, скомпилированный под архитектуру ARM64, что означает его работоспособность на новейших системах Apple. Вредонос ворует данные и реквизиты к криптовалютам.
XCSSET в деле
Эксперты «Лаборатории Касперского» обнаружили, что вредонос XCSSET, написанный под операционную систему macOS, начал атаковать системы на базе новейшего процессора Apple M1.
XCSSET впервые был выявлен экспертами TrendMicro в августе 2020 г. Он распространялся через проекты Xcode — интегрированную среду разработки под macOS, iOS и другие операционные системы Apple, и выводил критически важные данные, время от времени добивая своих жертв шифровальщиками.
XCSSET способен выводить информацию из Evernote, Skype, Notes, QQ, WeChat и Telegram. Он делает скриншоты и выводит украденные данные на сервер киберзлоумышленников.
Кроме того, вредонос может производить атаки универсального кросс-сайтового скриптинга (UXSS) для внедрения кода JavaScript в браузер пользователя при посещении им определенных сайтов. В случае успеха меняются настройки браузера. В новой версии XCSSET появилась функция подмены адресов криптовалютных кошельков, и ею злоумышленники пользуются для похищения пользовательских накоплений. Программа также способна красть реквизиты доступа к онлайновым сервисам: amoCRM, AppleID, Google, Paypal, SIPMarket и «Яндексу», а также платежную информацию из AppleStore.
Вопрос времени
В марте 2021 г. эксперты «Лаборатории Касперского» обнаружили новый вариант XCSSET, скомпилированный под архитектуру ARM64. Как раз на этой архитектуре базируется новый процессор Apple M1, а следовательно, разработчики XCSSET адаптировали вредоносную программу под новые системы Apple.
Эксперты TrendMicro также смогли установить контрольные домены XCSSET. Один из них носит название Trendmicroano.com (очевидно, авторы вредоноса таким образом выразили отношение к своим оппонентам). Известны также и другие домены Titian.com, Findmymacs.com, Statsmag.com, Statsmag.xyz и Adoberelations.com. Как легко заметить, все они выглядят невинно и вызывают ассоциации с легитимными ресурсами, не являясь таковыми.
XCSSET — не первый вредонос, способный поражать компьютеры на базе M1, отмечается в сообщении «Лаборатории Касперского». Судя по всему, злоумышленники оперативно адаптируются к новым процессорам, и эксперты ожидают, что вредоносных программ под M1 будет становиться все больше.
«Появление вредоносов под M1 было лишь вопросом времени. С точки зрения безопасности системы Apple небезосновательно пользуются хорошей репутацией у конечных пользователей, однако это может играть даже на руку злоумышленникам, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Системы Apple кажутся безопасными и неуязвимыми для кибератак, но, увы, лишь до того, как атаки происходят на самом деле».