Według badaczy Microsoft’s zagrożonych pojawił się nowy wariant XCSSET MacOS złośliwe oprogramowanie, ukierunkowane na użytkowników macOS i programistów w ograniczonych atakach. Ta wersja opiera się na swoich poprzednikach, znanych z kradzieży informacji i wstrzykiwania backdoors.
Nowy XCSSET MacOS Variant Wariant Celuje programistów i użytkowników
XCSSet złośliwe oprogramowanie zwykle rozprzestrzenia się w ramach zagrożonych projektów XCode, które zawierają pliki i ustawienia używane w tworzeniu aplikacji ze zintegrowanym środowiskiem programistycznym Apple (IDE). Złośliwe oprogramowanie jest trwałe zagrożenie od kilku lat, wcześniej wykorzystując luki w dniach zerowych dla złośliwych działań, takich jak robienie zrzutów ekranu i kradzież ciasteczek przeglądarki. Obecny wariant może również gromadzić dane z aplikacji takich jak notatki, pliki systemowe exfiltrate i ukierunkowane na portfele cyfrowe, jednocześnie stosując ulepszone techniki zaciemnienia, które komplikują analizę.
Złośliwe oprogramowanie obejmuje teraz nowe techniki infekcji i trwałości. Naukowcy Microsoft znakomity że może umieścić swój ładunek w projekcie Xcode przy użyciu metod takich jak cel, reguła lub wymuszone_strategie. Może również wstawić ładunek w kluczu Target_Device_Family w ustawieniach kompilacji, wykonując go w późniejszej fazie. Mechanizmy trwałości obejmują tworzenie pliku o nazwie ~/.zshrc_aliases, który uruchamia ładunek z każdą nową sesją powłoki, oraz pobieranie podpisanego narzędzia Dockutil z serwera poleceń i kontroli w celu zarządzania elementami DOCK.
Tworząc fałszywą aplikację LaunchPad i przekierowując ścieżkę legalnej aplikacji w DOCK, XCSSET zapewnia, że zarówno prawdziwe, jak i złośliwe ładunki wykonują za każdym razem, gdy uruchomiono uruchamianie. Ta rozproszona metoda umożliwia złośliwemu oprogramowaniu ukradkiem na szerszy zakres ofiar.
Ta gra parowa jest pełna złośliwego oprogramowania: czy pobrałeś ją?
Microsoft poinformował, że ostatnie ustalenia stanowią pierwszą ważną aktualizację XCSSet od 2022 r., Co podkreśla znaczącą poprawę zaciemnienia kodu, metod trwałości i strategii infekcji. Naukowcy doradzają programistom, aby dokładnie sprawdzali i weryfikowali wszelkie projekty Xcode sklonowane z nieoficjalnych źródeł, ponieważ złośliwe elementy mogą być ukryte.
XCSSET jest uznawany za wyrafinowane modułowe złośliwe oprogramowanie ukierunkowane na użytkowników macOS poprzez narażanie projektów Xcode. Początkowo udokumentowany w sierpniu 2020 r. Przez Trend Micro, XCSSet dostosował się do kompromisu nowszych wersji macOS i chipsetów M1 Apple. Wcześniejsze iteracje wykazały również możliwość wyodrębnienia danych z różnych aplikacji, w tym aplikacji Google Chrome, Telegram i Apple, takich jak kontakty i notatki.
W połowie 20121 r. Nowe funkcje XCSSET obejmowały wykorzystanie luki zero-day, w szczególności CVE-201021-30713, do robienia zrzutów ekranu bez odpowiednich uprawnień. Początki tego złośliwego oprogramowania pozostają nieznane, a najnowsze ustalenia podkreślają jego dalszą ewolucję i trwałe zagrożenia, jakie stwarza użytkownikom macOS.
Wyróżniony obraz obrazu: Ales Nesetril/Unsplash
