Biến thể mới của malware XCSSET nhắm vào ví tiền điện tử macOS

Nếu bạn đang sử dụng thiết bị macOS của Apple ngay bây giờ, bạn có thể muốn tiếp tục đọc.

Các nhà nghiên cứu từ Microsoft Threat Intelligence đã phát hiện ra một biến thể mới của malware có thể nhắm đến ví tiền điện tử.

XCSSET lần đầu tiên được phát hiện vào năm 2020 và cho phép các tác nhân độc hại chụp ảnh màn hình, ghi lại những gì người dùng đang làm và đánh cắp dữ liệu từ Telegram.

Phiên bản cập nhật này cũng có thể nhắm đến dữ liệu trong ứng dụng Notes của Apple và sử dụng các kỹ thuật làm mờ khiến malware khó phát hiện hơn.

> Microsoft Threat Intelligence đã phát hiện một biến thể mới của XCSSET, một malware macOS mô-đun tinh vi nhắm vào người dùng bằng cách lây nhiễm các dự án Xcode, trong tự nhiên. Mặc dù hiện tại chúng tôi chỉ thấy biến thể XCSSET mới này trong các cuộc tấn công hạn chế, chúng tôi đang chia sẻ thông tin này…
> — Microsoft Threat Intelligence (@MsftSecIntel) 17 tháng 2, 2025

Các cơ chế duy trì nâng cao có nghĩa là payload độc hại được triển khai mỗi khi Launchpad được mở.
tivated từ dock macOS.

Vì nó có khả năng mã hóa tệp, có một rủi ro thực tế rằng XCSSET có thể được sử dụng cho các cuộc tấn công ransomware.

Microsoft cho biết biến thể mới nhất chỉ mới được phát hiện trong “các cuộc tấn công hạn chế” cho đến nay và đã chia sẻ thông tin này để giúp các tổ chức bảo vệ bản thân.

Khi phần mềm độc hại XCSSET lần đầu tiên xuất hiện, các nhà nghiên cứu tại Trend Micro cho biết nó chủ yếu nhắm đến các nhà phát triển. Ngay cả lúc đó, XCSSET đã có khả năng lý thuyết để thao tác những gì người dùng cuối thấy trên trình duyệt của họ. Điều này có thể bao gồm việc sửa đổi hoặc thay thế địa chỉ Bitcoin và các địa chỉ tiền điện tử khác, có nghĩa là quỹ không được gửi đến địa điểm mong muốn.

Nó thường được phát tán qua các dự án Xcode bị nhiễm, bao gồm các tệp được sử dụng để tạo ứng dụng cho macOS.

Các nhà nghiên cứu cho biết Microsoft Defender for Endpoint trên Mac có khả năng phát hiện biến thể mới nhất của XCSSET.

Người dùng “phải luôn kiểm tra và xác minh bất kỳ dự án Xcode nào được tải xuống hoặc nhân bản từ các kho lưu trữ”.
Các vùng lãnh thổ, vì malware thường lây lan thông qua các dự án bị nhiễm. Họ cũng chỉ nên cài đặt ứng dụng từ các nguồn đáng tin cậy, chẳng hạn như cửa hàng ứng dụng chính thức của nền tảng phần mềm.”

Không gian Ransomware Đang Tiến Hóa

Chainalysis gần đây đã lưu ý rằng không gian ransomware đang tiến hóa nhanh chóng, với việc thanh toán cho các hacker giảm 35% vào năm 2024 so với năm trước. Sự tăng cường hành động từ cơ quan thực thi pháp luật và “sự từ chối ngày càng tăng của các nạn nhân để trả tiền” là một số yếu tố chính dẫn đến sự sụt giảm này.

Nhưng công ty phân tích blockchain đã tiếp tục cảnh báo rằng các kẻ tấn công đang bắt đầu thay đổi chiến thuật của họ bằng cách triển khai các biến thể ransomware mới và bắt đầu yêu cầu thanh toán chỉ vài giờ sau khi dữ liệu bị mã hóa.