XCSSET Update: Browser Debug-Modus, inaktive Ransomware möglich

Originalartikel von Mac Threat Response, Mobile Research Team

Trend Micro hatte bereits über XCSSET berichtet und die ziemlich einzigartige Gefahr für Xcode-Entwickler aufgezeigt. Der Eintrag stellte zudem die Möglichkeiten dar, wie Kriminelle macOS-Schwachstellen missbrauchen, um den maximalen Gewinn aus infizierten Maschinen zu ziehen. Die Erforschung der Bedrohung geht weiter, und hier sollen einige Aspekte deren Verhalten zur Sprache kommen.

Die wichtigsten neuen Erkenntnisse zu der Bedrohung sind folgende:

  • XCSSET kann den Debug-Modus auch anderer Browser missbrauchen, ähnlich dem Verhalten in Safari;
  • Zudem beinhaltet die Bedrohung potenzielle Ransomware-Fähigkeiten, auch wenn diese nicht implementiert wurden.

Ein technisches Briefing enthält weitere Details.

Remote Debug-Modus für weitere Browser

Auch wenn sich XCSSET speziell auf Safari konzentriert, so beinhaltet die Malware andere Module, die auf weitere Browser zielen. Das Verhalten dahinter ist ähnlich – die Browser können im Debugging/Entwickler-Modus laufen, sodass die Browser gekapert und ein Universal Cross-Site Scripting (UXSS)-Angriff durchgeführt wird. Die folgenden Browser (neben Safari) sind betroffen:

  • Brave
  • Google Chrome
  • Microsoft Edge
  • Mozilla Firefox
  • Opera
  • Qihoo 360 Browser
  • Yandex Browser

Die beste Verteidigung gegen diesen Angriff wäre die Beschränkung des Zugriffs auf den Debugging-Modus, möglicherweise über eine Art von Passwortauthentifizierung. Als Alternative sollte der Benutzer eine Benachrichtigung erhalten, wenn sich ein Remote-Debugger mit dem Browser verbindet. Von den oben genannten Browsern tut dies insbesondere Firefox als Teil seiner Standardkonfiguration:

Bild 1. Firefox Debug-Anfrage

Inaktive Ransomware-Fähigkeiten

Im Zuge der Recherche fanden die Forscher zusätzliche Module, die XCSSET laden kann, unter anderem ein Ransomware-Modul. Die Experten halten es für inaktiv, weil die Zeile für die Ausführung der Verschlüsselung auskommentiert ist.

Der Grund des Angreifers dafür ist unklar. Basierend auf der Code-Analyse verschlüsselt das Modul alle Dateien auf dem Desktop, den Ordner „Dokumente“ und „Downloads“ (sofern sie unter 500 MB groß sind). Laut der Lösegeldforderung beträgt dieses 0,5 BTC oder etwa 5.700 US-Dollar.

Trend Micro-Lösungen

Zum Schutz der Systeme vor dieser Art von Bedrohung sollten Benutzer nur Anwendungen von offiziellen und legitimen Marktplätzen herunterladen. Auch hilft eine mehrschichtige Sicherheitslösung wie Trend Micro Maximum Security mit ihrem umfassenden Schutz für mehrere Geräte. Unternehmen können auch Trend Micro Smart Protection Suites mit XGen™-Sicherheit einsetzen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.