XCSSET恶意软件更新版本分析，可攻击telegram和其他APP

guozhiwei · 发表于 2022-1-20 13:18:54

　　之前，研究人员分析了XCSSET恶意软件攻击最新macOS 11（Big Sur）系统的特征。之后，XCSSET恶意软件攻击活动又向其工具集中增加了一些新的特征。在其最新的攻击活动中，研究人员发现了XCSSET从不同APP中窃取信息的机制。Telegram下载http://www.telegramv.org/全新telegram中文汉化版已上线，其中包括telegram IOS汉化版和 telegram Android汉化版！我们始终致力于为您提供最优质的消息收发功能、最安全的隐私功能以及免费的语音通话功能，现在我们还推出了更高级别的隐私与安全服务，表情贴纸等更多精彩内容。全球数百万用户都在体验全新的 TELEGRAM中文版，telegram IOS中文版和telegram 安卓中文版，您还在等什么？

　　XCSSET恶意软件如何窃取信息？

　　从最初的XCSSET版本开始，研究人员就发现恶意软件会从不同的APP中收集数据，并发送回其C2服务器。但是研究人员并不知道攻击者如何使用这些数据。研究人员最近发现了XCSSET用来窃取数据的工作机制，并发现其中含有一些可以用于其他目的的敏感信息。

　　以恶意AppleScript文件“telegram.applescript”为例，该文件名中可以看出telegram就是目标APP。其主逻辑是压缩文件夹“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”到ZIP文件中，然后上传该文件到其C2服务器。

　　图 1. telegram.applescript代码

　　为找出收集该文件夹的目的，研究人员使用2个Mac机器来执行简单的测试：

　　?在测试机器A和机器B上都按照telegram应用

　　?在机器A上，登入有效的telegram账户。在机器B上不做任何操作。

　　?将机器A的“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”文件夹复制到机器B，并替换现有文件夹。

　　?在机器B上运行telegram。完成后，就登入了与机器A相同的账户。

　　在macOS系统中，应用沙箱目录~/Library/Containers/com.xxx.xxx和~/Library/Group Containers/com.xxx.xxx可以被普通用户以读或写权限访问。这与iOS中的实践是不同的。此外，并不是所有的可执行文件都是在macOS沙箱中的，也就是说一个简单的脚本就可以窃取沙箱目录中保存的所有数据。因此，研究人员建议应用开发者不要在沙箱目录中保存敏感信息，尤其是保存与登录信息相关的信息。

　　XCSSET恶意软件从这些应用中窃取了许多的关键隐私数据，其中大多数都保存在沙箱目录中。下面演示如何在Chrome中窃取敏感信息：

　　在Chrome中，窃取的数据包括用户保存的密码，XCSSET恶意软件需要使用命令security find- generic-password -wa ‘Chrome’来获取safe_storage_key。但是给命令需要root权限。为了获得该权限，恶意软件将所有需要root权限的操作都放在一个单独的函数中，如图2所示：

　　图 2. 需要管理员权限的操作

　　然后恶意软件会通过一个伪造的对话框来诱使用户授予这些权限：

　　一旦获得Chrome safe_storage_key，恶意软件会解密所有的敏感数据并上传到C2服务器。

　　图 3. 窃取的Chrome信息

　　图 4. 窃取Chrome的信息

　　研究人员还发现了攻击以下应用的类似的脚本：

　　?Contacts

　　?Evernote

　　?Notes

　　?Opera

　　?Skype

　　?WeChat

　　新C2域名

　　从2021年4月20日到4月22日，研究人员发现了一些新的域名，这些域名都解析到了XCSSET 之前使用过的IP地址94.130.27.189，这些域名包括：

　　?atecasec.com

　　?linebrand.xyz

　　?mantrucks.xyz

　　?monotal.xyz

　　?nodeline.xyz

　　?sidelink.xyz

　　类似地，域名icloudserv.com会解析到一个非恶意的IP地址94.130.27.189。

　　这些新的域名都有来自“Let’s Encrypt”的HTTPS证书，有效日期为4月22日到7月21日。

　　图 5. C2服务器的HTTPS证书

　　从2021年4月22日开始，所有的C2域名都解析到了IP地址 194.87.186.66。5月1日，出现了一个新的域名irc-nbg.v001.com被解析到了原来的C2 IP地址94.130.27.189。该新域名表明在该IP地址上有一个IRC服务器，这好像与XCSSET恶意软件是无关的。

　　从2021年6月9日到10日，所有与XCSSET C2服务器相关的现有域名都被移除了。取而代之的是如下的新域名：

　　?atecasec.info

　　?datasomatic.ru

　　?icloudserv.ru

　　?lucidapps.info

　　?relativedata.ru

　　?revokecert.ru

　　?safariperks.ru

　　6月24日，这些服务器也被攻击者移除了。目前，研究人员无法定位XCSSET恶意软件的新服务器。

　　其他行为变化

　　Bootstrap.applescript

　　在bootstrap.applescript中，最大的变化是使用了最新的C2域名：

　　图 6. 使用的C2域名

　　除了现有的域名外，IP地址也是该列表的一部分。虽然域名无法访问了，但是仍然可以通过IP地址来访问C2服务器。

　　图 7. 使用的模块

　　研究人员还发现恶意软件添加了一个新的模块“canary”来对Chrome Canary浏览器执行XSS注入，canary是Chrome浏览器的一个实验版本。

　　图 8. 使用的模块

　　与最新的版本相比，screen_sim被移除了。

　　Replicator.applescript

　　作为感染本地Xcode项目的第一步，恶意软件修改了注入的build节点，将build规则的ID从硬编码的ID变成了随机生成的ID，但是ID的最后6个字符仍然是硬编码的AAC43A。在最新的版本中，硬编码的后缀修改成了6D902C。