全站首页设为首页收藏本站

西虹市网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

社区广播台

    查看: 158|回复: 6
    打印 上一主题 下一主题

    [回忆小霸王/童年] XCSSET恶意软件更新版本分析,可攻击telegram和其他APP

    [复制链接]
    跳转到指定楼层
    楼主
    发表于 2022-1-20 13:18:54 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

    西虹网 西虹网  之前,研究人员分析了XCSSET恶意软件攻击最新macOS 11(Big Sur)系统的特征。之后,XCSSET恶意软件攻击活动又向其工具集中增加了一些新的特征。在其最新的攻击活动中,研究人员发现了XCSSET从不同APP中窃取信息的机制。Telegram下载http://www.telegramv.org/全新telegram中文汉化版已上线,其中包括telegram IOS汉化版和 telegram Android汉化版!我们始终致力于为您提供最优质的消息收发功能、最安全的隐私功能以及免费的语音通话功能,现在我们还推出了更高级别的隐私与安全服务,表情贴纸等更多精彩内容。全球数百万用户都在体验全新的 TELEGRAM中文版,telegram IOS中文版和telegram 安卓中文版,您还在等什么?
    西虹网 西虹网

    西虹网 西虹网
    西虹网 西虹网  XCSSET恶意软件如何窃取信息?
    西虹网 西虹网
    西虹网 西虹网  从最初的XCSSET版本开始,研究人员就发现恶意软件会从不同的APP中收集数据,并发送回其C2服务器。但是研究人员并不知道攻击者如何使用这些数据。研究人员最近发现了XCSSET用来窃取数据的工作机制,并发现其中含有一些可以用于其他目的的敏感信息。
    西虹网 西虹网
    西虹网 西虹网  以恶意AppleScript文件“telegram.applescript”为例,该文件名中可以看出telegram就是目标APP。其主逻辑是压缩文件夹“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”到ZIP文件中,然后上传该文件到其C2服务器。
    西虹网 西虹网
    西虹网 西虹网  图 1. telegram.applescript代码
    西虹网 西虹网
    西虹网 西虹网  为找出收集该文件夹的目的,研究人员使用2个Mac机器来执行简单的测试:
    西虹网 西虹网
    西虹网 西虹网  ?在测试机器A和机器B上都按照telegram应用
    西虹网 西虹网
    西虹网 西虹网  ?在机器A上,登入有效的telegram账户。在机器B上不做任何操作。
    西虹网 西虹网
    西虹网 西虹网  ?将机器A的“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”文件夹复制到机器B,并替换现有文件夹。
    西虹网 西虹网
    西虹网 西虹网  ?在机器B上运行telegram。完成后,就登入了与机器A相同的账户。
    西虹网 西虹网
    西虹网 西虹网  在macOS系统中,应用沙箱目录~/Library/Containers/com.xxx.xxx和~/Library/Group Containers/com.xxx.xxx可以被普通用户以读或写权限访问。这与iOS中的实践是不同的。此外,并不是所有的可执行文件都是在macOS沙箱中的,也就是说一个简单的脚本就可以窃取沙箱目录中保存的所有数据。因此,研究人员建议应用开发者不要在沙箱目录中保存敏感信息,尤其是保存与登录信息相关的信息。
    西虹网 西虹网
    西虹网 西虹网  XCSSET恶意软件从这些应用中窃取了许多的关键隐私数据,其中大多数都保存在沙箱目录中。下面演示如何在Chrome中窃取敏感信息:
    西虹网 西虹网
    西虹网 西虹网  在Chrome中,窃取的数据包括用户保存的密码,XCSSET恶意软件需要使用命令security find- generic-password -wa ‘Chrome’来获取safe_storage_key。但是给命令需要root权限。为了获得该权限,恶意软件将所有需要root权限的操作都放在一个单独的函数中,如图2所示:
    西虹网 西虹网
    西虹网 西虹网  图 2. 需要管理员权限的操作
    西虹网 西虹网
    西虹网 西虹网  然后恶意软件会通过一个伪造的对话框来诱使用户授予这些权限:
    西虹网 西虹网
    西虹网 西虹网  一旦获得Chrome safe_storage_key,恶意软件会解密所有的敏感数据并上传到C2服务器。
    西虹网 西虹网
    西虹网 西虹网  图 3. 窃取的Chrome信息
    西虹网 西虹网
    西虹网 西虹网  图 4. 窃取Chrome的信息
    西虹网 西虹网
    西虹网 西虹网  研究人员还发现了攻击以下应用的类似的脚本:
    西虹网 西虹网
    西虹网 西虹网  ?Contacts
    西虹网 西虹网
    西虹网 西虹网  ?Evernote
    西虹网 西虹网
    西虹网 西虹网  ?Notes
    西虹网 西虹网
    西虹网 西虹网  ?Opera
    西虹网 西虹网
    西虹网 西虹网  ?Skype
    西虹网 西虹网
    西虹网 西虹网  ?WeChat
    西虹网 西虹网
    西虹网 西虹网  新C2域名
    西虹网 西虹网
    西虹网 西虹网  从2021年4月20日到4月22日,研究人员发现了一些新的域名,这些域名都解析到了XCSSET 之前使用过的IP地址94.130.27.189,这些域名包括:
    西虹网 西虹网
    西虹网 西虹网  ?atecasec.com
    西虹网 西虹网
    西虹网 西虹网  ?linebrand.xyz
    西虹网 西虹网
    西虹网 西虹网  ?mantrucks.xyz
    西虹网 西虹网
    西虹网 西虹网  ?monotal.xyz
    西虹网 西虹网
    西虹网 西虹网  ?nodeline.xyz
    西虹网 西虹网
    西虹网 西虹网  ?sidelink.xyz
    西虹网 西虹网
    西虹网 西虹网  类似地,域名icloudserv.com会解析到一个非恶意的IP地址94.130.27.189。
    西虹网 西虹网
    西虹网 西虹网  这些新的域名都有来自“Let’s Encrypt”的HTTPS证书,有效日期为4月22日到7月21日。
    西虹网 西虹网
    西虹网 西虹网  图 5. C2服务器的HTTPS证书
    西虹网 西虹网
    西虹网 西虹网  从2021年4月22日开始,所有的C2域名都解析到了IP地址 194.87.186.66。5月1日,出现了一个新的域名irc-nbg.v001.com被解析到了原来的C2 IP地址94.130.27.189。该新域名表明在该IP地址上有一个IRC服务器,这好像与XCSSET恶意软件是无关的。
    西虹网 西虹网
    西虹网 西虹网  从2021年6月9日到10日,所有与XCSSET C2服务器相关的现有域名都被移除了。取而代之的是如下的新域名:
    西虹网 西虹网
    西虹网 西虹网  ?atecasec.info
    西虹网 西虹网
    西虹网 西虹网  ?datasomatic.ru
    西虹网 西虹网
    西虹网 西虹网  ?icloudserv.ru
    西虹网 西虹网
    西虹网 西虹网  ?lucidapps.info
    西虹网 西虹网
    西虹网 西虹网  ?relativedata.ru
    西虹网 西虹网
    西虹网 西虹网  ?revokecert.ru
    西虹网 西虹网
    西虹网 西虹网  ?safariperks.ru
    西虹网 西虹网
    西虹网 西虹网  6月24日,这些服务器也被攻击者移除了。目前,研究人员无法定位XCSSET恶意软件的新服务器。
    西虹网 西虹网
    西虹网 西虹网  其他行为变化
    西虹网 西虹网
    西虹网 西虹网  Bootstrap.applescript
    西虹网 西虹网
    西虹网 西虹网  在bootstrap.applescript中,最大的变化是使用了最新的C2域名:
    西虹网 西虹网
    西虹网 西虹网  图 6. 使用的C2域名
    西虹网 西虹网
    西虹网 西虹网  除了现有的域名外,IP地址也是该列表的一部分。虽然域名无法访问了,但是仍然可以通过IP地址来访问C2服务器。
    西虹网 西虹网
    西虹网 西虹网  图 7. 使用的模块
    西虹网 西虹网
    西虹网 西虹网  研究人员还发现恶意软件添加了一个新的模块“canary”来对Chrome Canary浏览器执行XSS注入,canary是Chrome浏览器的一个实验版本。
    西虹网 西虹网
    西虹网 西虹网  图 8. 使用的模块
    西虹网 西虹网
    西虹网 西虹网  与最新的版本相比,screen_sim被移除了。
    西虹网 西虹网
    西虹网 西虹网  Replicator.applescript
    西虹网 西虹网
    西虹网 西虹网  作为感染本地Xcode项目的第一步,恶意软件修改了注入的build节点,将build规则的ID从硬编码的ID变成了随机生成的ID,但是ID的最后6个字符仍然是硬编码的AAC43A。在最新的版本中,硬编码的后缀修改成了6D902C。
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 转播转播 分享分享
    回复

    使用道具 举报

    沙发
    发表于 2022-3-5 08:04:34 | 只看该作者
    谢谢楼主,共同发展
    回复 支持 反对

    使用道具 举报

    板凳
    发表于 2022-5-11 09:34:11 | 只看该作者
    为自己家乡的社区网贡献点力量,回个帖子
    回复 支持 反对

    使用道具 举报

    地板
    发表于 2022-8-23 17:22:18 | 只看该作者
    不知该说些什么。。。。。。就是谢谢
    回复 支持 反对

    使用道具 举报

    5#
    发表于 2022-12-9 16:17:07 | 只看该作者
    为自己家乡的社区网贡献点力量,回个帖子
    回复 支持 反对

    使用道具 举报

    6#
    发表于 2023-1-1 05:31:41 | 只看该作者
    过来看看的
    回复 支持 反对

    使用道具 举报

    7#
    发表于 2023-1-8 05:43:18 | 只看该作者
    帮你顶下哈!!
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    快速回复 返回顶部 返回列表