苹果推出M1芯片已经将近半年,但针对该芯片的恶意软件从GoSearch22到Silver Sparrow再到最近的XCSSet,层出不穷。甚至最新的恶意软件XcssET不仅可以攻击M1芯片,还可以窃取QQ、微信等主流应用的数据。
4月19日,趋势科技(Trend Micro)专家发现,原先针对苹果开发人员的恶意软件XCSSET,现已重新设计,瞄上了装载苹果M1芯片的新产品。此外,该软件还实现了针对加密货币应用的数据窃取功能。
XCSSET重新设计,针对M1、QQ、微信、加密货币
XCSSET最初是趋势科技在2020年8月发现的一款Mac恶意软件,它通过Xcode项目传播,并利用两个零日漏洞来从目标系统窃取敏感信息并发起勒索软件攻击。
趋势科技称,重新设计的XCSSET可以窃取主流应用程序数据,例如Evernote、Skype、Notes、QQ、微信和Telegram,还会捕捉屏幕截图,并将被盗的文档传输到攻击者 服务器 。
该恶意软件还会进行勒索,它能够对文件加密并弹出赎金说明。XCSSET可以发起通用跨站脚本攻击(UXSS),在用户访问特定网站时向浏览器注入JavaScript代码。 这种行为使得恶意代码能够替换加密货币交易途径,并窃取在线服务的凭证,如amoCRM、Apple ID、Google、Paypal、SIPMarket和Yandex;还可以窃取苹果商店的银行卡信息。
趋势科技分别在7月13日和31日发现了两个注入XCSSET Mac 恶意软件的Xcode项目。
今年3月,卡巴斯基研究人员发现了XCSSET的新变种,该变种是针对苹果新M1芯片的设备编译的。
“在探索XCSSET的各种可执行模块时,我们发现其中一些模块还包含专门为M1芯片编译的样本。 例如,一个MD5散列为914e49921c19fffd7443deee6ee161a4的示例包含两种架构:x86_64和Arm64。”卡巴斯基在报告中表示。
“第一种架构针对装备上一代英特尔芯片的Mac设备,第二种针对ARM64架构进行了编译,它可以在配备M1芯片的设备上运行。”
卡巴斯基分析的样本已于2021-02-24 21:06:05上传到VirusTotal。与趋势科技分析的样本不同,此变体包含上面的散列或一个名为“metald”的模块,它也是可执行文件的名称。
趋势科技研究人员提供了XCSSET实现的新功能和有效负载的详细信息,例如使用名为“trendmicroano [.] com”的新域作为C&C服务器。
以下活跃的C&C域和IP地址94 [.] 130 [.] 27 [.] 189相同:
其他更改已应用于bootstrap.applescript模块,该模块包含调用其他恶意AppleScript模块的逻辑。其中一个主要变化与用户名为“apple_mac”的设备有关,该设备配备M1芯片的计算机,用于测试新的带有ARM结构的Mach-O文件,是否可以在M1设备上正常运行。
滥用Safari加载后门
根据趋势科技发布的最新报告,XCSSET持续滥用Safari浏览器的开发版本,利用通用跨站脚本攻击将JavaScript后门植入网站。
“正如我们在第一份技术简介中提到的那样,此恶意软件利用Safari的开发版本从C&C服务器加载恶意的Safari框架和相关的JavaScript后门。它在C&C服务器上托管Safari更新程序包,然后根据用户的操作系统版本下载和安装包。为了适应新发布的Big Sur,该恶意软件还添加了Safari 14的新包。”趋势科技在报告种写道 。 “正如我们在safari_remote.applescript中观察到的那样,它会根据用户当前的浏览器和操作系统版本下载相应的Safari包。”
研究人员对来自agent.php的最新JavaScript代码分析后发现,该恶意软件能够从以下站点窃取机密数据:
例如,在加密货币交易平台Huobi,恶意软件能够窃取帐户信息并更换用户的加密货币钱包中的收款路径。
M1芯片遭遇越来越多的恶意软件
首个针对M1芯片的恶意软件是广告分发应用程序GoSearch22,在2021年2月19日被披露。它是Pirrit广告恶意软件的变体,可以伪装成合法的Safari浏览器扩展程序,默默收集浏览数据并投放大量广告,例如横幅和弹出窗口,包括一些链接到可疑网站并分发其他恶意软件的广告内容。
不到一周,第二个已知的针对M1的恶意软件“Silver Sparrow”被披露。它被编译成原生运行在M1 Mac上。据说这个恶意包利用macOS Installer JavaScript API执行可疑的命令,当时”Silver Sparrow”感染了153个国家的29139台macOS系统,其中包括 “美国、英国、加拿大、法国和德国的大量检出”。
为什么我的魅族手机进QQ 和微信下面屏幕就点不到
你好,很高兴为您解答
为什么我的魅族手机进QQ 和微信下面屏幕就点不到
如果进入QQ 微信页面后屏幕失灵的话,可能不是手机的问题,有以下几种原因。
第一。 可能进入页面的时候,微信或qq失灵的话,首先是看是不是手机质量的问题,或者是手机屏幕的问题。
第二。 你下载的微信或qq版本是否提示更新又或者是旧的版本,有时候版本不对的话,进入页面会有卡顿失灵的现象,你重新卸载,然后再进入看下。
希望我的回答可以帮到您
感谢您对网络问问的支持!
手机遭到恶意代码攻击怎么办?
1、重新开关机。 2、卸载近期安装的第三方软件后观察。 3、备份手机数据(电话簿、短信息、多媒体文件等),恢复出厂设置。 恶意代码(Unwanted Code)是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。 最常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑炸弹等。
我聊天的时候老是出现 您所在的网络可能存在危害其他QQ用户的行为,您的号码被迫
你那个QQ号已经被别人盯上了,一般木马都是同时锁定被感染过的Q号,你的那个是不是网络硬盘里面存了病毒文件,或者被感染,或者你的用QQ号登陆过互联网(有的时候是自动登陆)点击过非法或者感染过的文件,建议杀毒一次网络硬盘,或者在运行IE浏览器,点击“工具/Internet选项/安全/自定义级别”,将安全级别定义为“安全级-高”,对“ActiveX控件和插件”中第2、3项设置为“禁用”,其它项设置为“提示”,之后点击“确定”。 这样设置后,当你使用IE浏览网页时,就能有效避免恶意网页中恶意代码的攻击。
发表评论