Microsofts Sicherheitsforscher haben eine neue Version der bekannten XCSSET-Malware entdeckt, die gezielt MacOS-Systeme angreift. Sie wurde bisher nur in wenigen Fllen in freier Wildbahn gefunden, dennoch stuft das Unternehmen die Bedrohung als ernst ein.
Manipulation der Zwischenablage
XCSSET ist modular aufgebaut und dient in erster Linie als Informations- und Datendieb. Bereits frhere Varianten waren in der Lage, Inhalte aus Apples Notizen-App, Kryptowallets sowie Browser-Datenbanken zu stehlen. Die Verbreitung erfolgt ber infizierte Xcode-Projekte: Wird ein solches Projekt kompiliert, schleust sich die Malware in den Prozess ein und aktiviert ihre Module. Da Entwickler ihre Projektdateien hufig mit Kollegen teilen, setzt die Schadsoftware gezielt auf diesen Verbreitungsweg.
Die nun entdeckte Variante bringt mehrere Neuerungen mit sich. Besonders auffllig ist die erweiterte Fhigkeit zum Auslesen von Browser-Daten. Dazu installieren die Angreifer eine manipulierte Version des Open-Source-Werkzeugs HackBrowserData, mit dem sich gespeicherte Passwrter oder Cookies aus Firefox auslesen lassen.
Ein weiteres Modul nimmt gezielt die Zwischenablage von MacOS ins Visier. Es berwacht dort automatisch alle Eintrge und erkennt mithilfe von Musterabgleichen Krypto-Adressen. Wird eine solche Adresse gefunden, ersetzt die Malware diese unbemerkt durch eine Wallet-Adresse der Angreifer. Wer anschlieend eine Transaktion ausfhrt, berweist sein Geld also nicht an den gewnschten Empfnger, sondern an die Kriminellen.
Achtsamkeit hilft
Um dauerhaft im System zu verbleiben, haben die Entwickler auch die Persistenzmechanismen berarbeitet. So richtet XCSSET beispielsweise neue LaunchDaemon-Eintrge ein, die eine versteckte Payload starten. Zudem tarnt sich die Schadsoftware als geflschte „System Settings“-App, die im temporren Verzeichnis von MacOS abgelegt wird.
Laut Microsoft ist die neue Version derzeit noch nicht weit verbreitet. Das Unternehmen habe Apple ber die Erkenntnisse informiert und arbeite zudem mit GitHub zusammen, um entsprechende Repositorys zu entfernen.
Um sich zu schtzen, raten Experten dringend, MacOS und alle installierten Anwendungen regelmig zu aktualisieren. XCSSET hat in der Vergangenheit Zero-Day-Lcken ausgenutzt. Entwickler sollten darber hinaus jedes Xcode-Projekt sorgfltig berprfen, bevor sie es kompilieren – insbesondere, wenn die Dateien von Dritten stammen.
Zusammenfassung
- Microsoft entdeckt neue XCSSET-Malware-Variante fr MacOS-Systeme
- Schadsoftware verbreitet sich durch infizierte Xcode-Projekte unter Entwicklern
- Erweiterte Funktionen zum Diebstahl von Browser-Daten und Kryptowhrungen
- Manipuliert die Zwischenablage und ersetzt Krypto-Adressen heimlich
- Verbesserte Persistenzmechanismen durch LaunchDaemon-Eintrge und Tarnung
- Regelmige Updates und sorgfltige berprfung von Xcode-Projekten empfohlen
Siehe auch:
Microsofts Sicherheitsforscher haben eine neue Version der bekannten XCSSET-Malware entdeckt, die gezielt MacOS-Systeme angreift. Sie wurde bisher nur in wenigen Fllen in freier Wildbahn gefunden, dennoch stuft das Unternehmen die Bedrohung als ernst ein.
Manipulation der Zwischenablage
XCSSET ist modular aufgebaut und dient in erster Linie als Informations- und Datendieb. Bereits frhere Varianten waren in der Lage, Inhalte aus Apples Notizen-App, Kryptowallets sowie Browser-Datenbanken zu stehlen. Die Verbreitung erfolgt ber infizierte Xcode-Projekte: Wird ein solches Projekt kompiliert, schleust sich die Malware in den Prozess ein und aktiviert ihre Module. Da Entwickler ihre Projektdateien hufig mit Kollegen teilen, setzt die Schadsoftware gezielt auf diesen Verbreitungsweg.
Die nun entdeckte Variante bringt mehrere Neuerungen mit sich. Besonders auffllig ist die erweiterte Fhigkeit zum Auslesen von Browser-Daten. Dazu installieren die Angreifer eine manipulierte Version des Open-Source-Werkzeugs HackBrowserData, mit dem sich gespeicherte Passwrter oder Cookies aus Firefox auslesen lassen.
Ein weiteres Modul nimmt gezielt die Zwischenablage von MacOS ins Visier. Es berwacht dort automatisch alle Eintrge und erkennt mithilfe von Musterabgleichen Krypto-Adressen. Wird eine solche Adresse gefunden, ersetzt die Malware diese unbemerkt durch eine Wallet-Adresse der Angreifer. Wer anschlieend eine Transaktion ausfhrt, berweist sein Geld also nicht an den gewnschten Empfnger, sondern an die Kriminellen.
Achtsamkeit hilft
Um dauerhaft im System zu verbleiben, haben die Entwickler auch die Persistenzmechanismen berarbeitet. So richtet XCSSET beispielsweise neue LaunchDaemon-Eintrge ein, die eine versteckte Payload starten. Zudem tarnt sich die Schadsoftware als geflschte „System Settings“-App, die im temporren Verzeichnis von MacOS abgelegt wird.
Laut Microsoft ist die neue Version derzeit noch nicht weit verbreitet. Das Unternehmen habe Apple ber die Erkenntnisse informiert und arbeite zudem mit GitHub zusammen, um entsprechende Repositorys zu entfernen.
Um sich zu schtzen, raten Experten dringend, MacOS und alle installierten Anwendungen regelmig zu aktualisieren. XCSSET hat in der Vergangenheit Zero-Day-Lcken ausgenutzt. Entwickler sollten darber hinaus jedes Xcode-Projekt sorgfltig berprfen, bevor sie es kompilieren – insbesondere, wenn die Dateien von Dritten stammen.
Zusammenfassung
- Microsoft entdeckt neue XCSSET-Malware-Variante fr MacOS-Systeme
- Schadsoftware verbreitet sich durch infizierte Xcode-Projekte unter Entwicklern
- Erweiterte Funktionen zum Diebstahl von Browser-Daten und Kryptowhrungen
- Manipuliert die Zwischenablage und ersetzt Krypto-Adressen heimlich
- Verbesserte Persistenzmechanismen durch LaunchDaemon-Eintrge und Tarnung
- Regelmige Updates und sorgfltige berprfung von Xcode-Projekten empfohlen
Siehe auch:
