Исследователи Microsoft обнаружили новую эволюцию вредоносного ПО XCSSET - теперь оно способно действовать более скрытно и охватывать больше платформ.
В опубликованном блоге подробно описаны ключевые изменения, расширяющие функциональность атаки и повышающие устойчивость к антивирусным средствам.
Ранее XCSSET ассоциировался преимущественно с атакой на macOS-устройства через поддельные расширения или вредоносные скрипты. Новые версии ПО научились сокращать шум в логах, изменять шаблоны шифрования и использовать защиту от автоматического анализа.
Кроме того, в арсенале XCSSET появились модули, которые контролируют веб-среду браузеров и перехватывают сессии в режиме инкогнито. Заражение может происходить через нелегитимно модифицированные JavaScript-библиотеки: злоумышленники внедряют вредоносный код в легитимные CDN-источники, что позволяет нагрузке выглядеть как обычные запросы к сторонним ресурсам.
Microsoft подчёркивает, что важной особенностью последней версии XCSSET является способность обходить защиту, добавляя задержки в активации вредоносных функций, чтобы не попадать под радар санитарных сканеров. Также злоумышленники усложняют анализ, внедряя обфускацию и динамическую генерацию кода.
Эксперты Microsoft советуют пользователям macOS и iOS не устанавливать расширения и скрипты из сомнительных источников, обновлять ПО своевременно и использовать надежные средства защиты. ИТ-службам рекомендовано анализировать логи доступа браузеров, следить за необычной активностью в расширениях и сегментировать среду исполнения кода.
В опубликованном блоге подробно описаны ключевые изменения, расширяющие функциональность атаки и повышающие устойчивость к антивирусным средствам.
Ранее XCSSET ассоциировался преимущественно с атакой на macOS-устройства через поддельные расширения или вредоносные скрипты. Новые версии ПО научились сокращать шум в логах, изменять шаблоны шифрования и использовать защиту от автоматического анализа.
Кроме того, в арсенале XCSSET появились модули, которые контролируют веб-среду браузеров и перехватывают сессии в режиме инкогнито. Заражение может происходить через нелегитимно модифицированные JavaScript-библиотеки: злоумышленники внедряют вредоносный код в легитимные CDN-источники, что позволяет нагрузке выглядеть как обычные запросы к сторонним ресурсам.
Microsoft подчёркивает, что важной особенностью последней версии XCSSET является способность обходить защиту, добавляя задержки в активации вредоносных функций, чтобы не попадать под радар санитарных сканеров. Также злоумышленники усложняют анализ, внедряя обфускацию и динамическую генерацию кода.
Эксперты Microsoft советуют пользователям macOS и iOS не устанавливать расширения и скрипты из сомнительных источников, обновлять ПО своевременно и использовать надежные средства защиты. ИТ-службам рекомендовано анализировать логи доступа браузеров, следить за необычной активностью в расширениях и сегментировать среду исполнения кода.
