趋势微公司的最新研究表明,XCSSET继续滥用Safari浏览器的开发版本,通过通用跨站点脚本(UXSS)攻击将JavaScript后门安装到网站上。
“它在[命令和控制]服务器中托管Safari更新包,然后下载并为用户的OS版本安装软件包,”趋势微研究人员说在周五发表的一份分析报告中。“为了适应新发布的”大苏尔“,为‘Safari 14’增加了新的软件包。”
除了对Safari进行控制以提取数据外,该恶意软件还以利用远程调试模式在其他浏览器中,如GoogleChrome、Brave、MicrosoftEdge、MozillaFirefox、Opera、奇虎360浏览器和Yandex浏览器等,对UXSS进行攻击。
此外,该恶意软件现在甚至试图从多个网站(包括密码货币交易平台Huobi、Binance、NNCall.net、Envato和163.com)窃取帐户信息,能够将用户密码货币钱包中的地址替换为攻击者控制的地址。
XCSSET通过修改的Xcode项目发布的模式构成了严重的威胁,因为受影响的开发人员在无意中共享他们在GitHub上的工作,他们可能会将恶意软件以受损Xcode项目的形式传递给他们的用户,从而导致“a类似供应链的攻击对于在自己的项目中将这些存储库作为依赖项的用户来说。“