상세 컨텐츠

본문 제목

Xcode 프로젝트를 통해 확산되는 XCSSET, M1 기반 Mac 기기 노려

국내외 보안동향

by 알약4 2021. 4. 20. 09:00

본문

 

 

Malware That Spreads Via Xcode Projects Now Targeting Apple's M1-based Macs

 

Xcode 개발자들을 노리는 한 Mac 악성코드 캠페인이 애플의 새로운 M1 칩을 지원하고, 가상화폐 앱으로부터 기밀 정보를 훔치는 기능을 추가하도록 업그레이드되었습니다.

 

XCSSET은 빌드 시 페이로드를 실행하도록 변조된 Xcode IDE 프로젝트를 통해 배포되었으며, 지난 20208월 주목을 받았습니다.

 

이 악성코드는 합법적인 Mac 애플리케이션을 모방하기 위해 로컬 Xcode 프로젝트를 감염시키고 해킹된 프로젝트가 빌드될 때 메인 페이로드를 주입하는 역할을 하는 페이로드 모듈을 리패키징합니다.

 

XCSSET 모듈은 크리덴셜을 훔치고, 스크린샷을 캡처하고, 웹사이트에 자바스크립트를 주입하고, 다른 앱의 사용자 데이터를 약탈하고, 랜섬머니를 갈취하기 위해 파일을 암호화하는 기능을 포함하고 있습니다.

 

20213, 카스퍼스키 연구원들은 새로운 애플 M1 칩용으로 컴파일된 XCSSET 샘플을 발견하여 해당 악성코드 캠페인의 공격자가 캠페인을 진행 중임에도 적극적으로 실행파일을 조정하여 애플 실리콘을 탑재한 Mac에서도 실행되도록 포팅하고 있음을 알 수 있었습니다.

 

 

<이미지 출처 : https://thehackernews.com/2021/04/malware-spreads-via-xcode-projects-now.html>

 

 

Trend Micro에서 실시한 가장 최근 연구에 따르면 XCSSETUXSS(Universal Cross-site Scripting) 공격을 통해 웹사이트에 JavaScript 백도어를 심기 위해 사파리 브라우저의 개발 버전을 계속해서 악용하고 있는 것으로 나타났습니다.

 

Trend Micro는 지난 금요일 발행된 보고서에서 아래와 같이 밝혔습니다.

 

이는 C2 서버에 사파리 업데이트 패키지를 호스팅한 후 사용자의 OS 버전에 따른 패키지를 다운로드 및 설치합니다. 새롭게 공개된 Big Sur를 도입하기 위해 ‘Safari 14’용 패키지가 추가되었습니다.”

 

이 악성코드는 사파리에서 데이터를 추출하기 위해 트로이목마화 하는 것 이외에도 UXSS 공격을 실행하기 위해 Google Chrome, Brave, Microsoft Edge, Mozilla Firefox, Opera, Qihoo 360 Browser, Yandex Browser 등 기타 브라우저의 원격 디버깅 모드를 악용하는 것으로도 알려져 있습니다.

 

게다가 이 악성코드는 Huobi, Binance, NNCall.net, Envato, 163.com을 포함한 가상화폐 거래 플랫폼 등 웹사이트 다수에서 계정 정보를 훔치려 시도하기도 합니다. 이는 사용자의 가상화폐 지갑 주소를 공격자의 주소로 바꿔치기하는 기능 또한 포함하고 있습니다.

 

조작된 Xcode 프로젝트를 통한 XCSSET의 배포 모드는 심각한 위협이 됩니다. 영향을 받은 개발자가 자신의 작업을 무의식적으로 GitHub에 공개할 경우, 해킹된 Xcode 프로젝트의 형태로 사용자들에게 악성코드를 배포할 수 있기 때문입니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/04/malware-spreads-via-xcode-projects-now.html

https://www.trendmicro.com/en_us/research/21/d/xcsset-quickly-adapts-to-macos-11-and-m1-based-macs.html

관련글 더보기

댓글 영역