- Нов вариант на XCSSET с разширено обфускация и множествена персистентност (zshrc, Dock и LaunchDaemon).
- Разширява кражбата на данни към Firefox и добавя Clipper за пренасочване на крипто транзакции от... клипборда.
- Заразяване на споделени Xcode проекти: AppleScripts, които се изпълняват само, преименувани модули и изтичане на C2.
- Препоръки: Актуализирайте macOS, одитирайте проектите преди компилиране и наблюдавайте osascript/dockutil.
Семейството на зловреден софтуер XCSSET за macOS се завърна с подобрен вариант и това не е никак малко постижение: Microsoft Threat Intelligence е идентифицирал значителни промени в техниките за обфускация, устойчивост и кражба на данни. които вдигат летвата на този стар познат. Ако работите с Xcode или споделяте проекти между екипи, ще искате да сте в крак с новостите.
От откриването си през 2020 г., XCSSET се адаптира към промените в екосистемата на Apple. Това, което се наблюдава сега, е първият публично документиран нов вариант от 2022 г. насам., открит при ограничени атаки, но с разширени възможности. Това е модулен зловреден софтуер, който се промъква в Xcode проекти, за да изпълни полезния си товар, когато те са компилирани, а в тази итерация включва по-хитри тактики, за да се камуфлира и да се запази.
Какво е XCSSET и защо се разпространява толкова добре?
По същество XCSSET е набор от злонамерени модули, предназначени да заразяване на Xcode проекти и активиране на техните функции по време на изгражданетоНай-правдоподобният вектор на разпространение е споделянето на файлове на проекта между сътрудничещи си разработчици. приложения за macOS, което умножава възможностите за изпълнение във всяка компилация.
Този зловреден софтуер исторически е успявал да използва уязвимости от типа „нулев ден“, инжектиране на код в проекти и дори въвеждане на задни вратички в компоненти на екосистемата на Apple, като например SafariПо време на своята еволюция, той е добавил и съвместимост с по-нови версии на архитектурите macOS и Apple Silicon (M1), демонстрирайки забележителна адаптивност.
На място XCSSET работи като крадец на информация и cryptocurrency: може да събира данни от популярни програми (Evernote, Notes, Skype, Telegram, QQ, WeChat и други), да измъкват системни и приложни файлове и по-специално да се насочват към цифрови портфейли. Освен това, някои варианти са демонстрирали Неоторизирани снимки на екрана, криптиране на файлове и разполагане на молба за откуп.
Какво е новото в най-новия вариант
Microsoft уточни, че най-новият вариант включва Нови методи за обфускация, персистентност и стратегии за заразяванеВече не говорим само за размяна на имена или компресиране на код: сега има повече случайност в начина, по който генерира полезните си товари, за да замърси Xcode проектите.
Поразителна промяна е комбинираното използване на техники за кодиране. Докато предишните итерации разчитаха единствено на xxd (hexdump), Новата версия добавя Base64 и прилага произволен брой итерации., което затруднява идентифицирането и разплитането на товара.
Вътрешните имена на модулите също са по-скрити от всякога: Те са обфускирани на ниво код, за да скрият предназначението си.Това усложнява статичния анализ и корелацията между функциите и наблюдаваните ефекти в системата.
Устойчивост: методи „zshrc“ и „dock“
Един от отличителните белези на това завръщане на XCSSET са два много различни пътя за оцеляване след инфекция. Методът „zshrc“ използва конфигурацията на обвивката, за да се стартира автоматично във всяка сесия., а методът „dock“ манипулира системните преки пътища, за да изпълнява злонамерения полезен товар прозрачно за потребителя.
При подхода „zshrc“, зловредният софтуер създава файл, наречен ~/.zshrc_aliases с полезния товар и след това добавя команда към ~/.zshrc, която гарантира, че файлът се зарежда всеки път, когато се отвори нова сесия. Това осигурява запазване на данните във всички терминали, без да повдига очевидни съмнения.
Планът „док“ включва изтегляне на подписан инструмент от сървъра за командване и контрол, dockutil, за управление на Dock елементиСлед това създава фалшиво приложение Launchpad и замества пътя до легитимния Launchpad в Dock с това фалшиво приложение. Резултат: всеки път, когато потребителят стартира Launchpad от Dock, се отваря истинският и паралелно с това... злонамерен полезен товар е активиран.
Като подсилване, вариантът въвежда Нови критерии за определяне къде в Xcode проекта да се вмъкне полезният товарТова оптимизира въздействието и минимизира шансовете разработчикът да забележи нещо необичайно при преглед на дървото на проекта.
AppleScript, скрито изпълнение и верига на заразяване
Проучване на Microsoft описва, че XCSSET използва AppleScripts, компилирани в режим само за изпълнение да работи безшумно и да предотврати разкриването на съдържанието му от директен анализ. Тази техника е в съответствие с целта ѝ за невидимост и избягване на инструменти за проверка на скриптове.
В четвъртата фаза на инфекциозната верига се наблюдава, че Приложение AppleScript изпълнява команда в shell, за да изтегли последния етапТози последен AppleScript събира информация от компрометираната система и стартира подмодули, като извиква функцията boot(), която оркестрира модулното внедряване на възможности.
Открити са и логически промени: Допълнителни проверки за браузъра Firefox и различен метод за потвърждаване на наличието на приложението за съобщения Telegram. Това не са незначителни подробности; те показват ясно намерение за по-надеждно събиране на данни и разширяване на обхвата му.
Преименувани модули и нови части
С всяка ревизия, семейството XCSSET леко променяше имената на своите модули, класическа игра на котка и мишка, за да... затрудняват проследяването на версии и подписиВъпреки това, функционалността му като цяло остава постоянна.
Сред подчертаните модули на този вариант се появяват идентификатори като vexyeqj (преди това seisecj), което изтеглете друг модул, наречен bnk и го изпълнява с помощта на osascript. Това писменост добавя валидиране на данни, криптиране, декриптиране, извличане на допълнително съдържание от C2 и възможности за регистриране на събития, както и включва компонента „клипер“.
Споменава се също neq_cdyd_ilvcmwx, подобно на txzx_vostfdi, който е отговорен за извличане на файлове към командния и контролен сървърмодулът xmyyeqjx който подготвя Постоянство, базирано на LaunchDaemon; Хей (преди това jez), който конфигурира a постоянство чрез Git; и Последване, отговорен за кражбата на данни от Firefox, използвайки модифицирана версия на публичния инструмент HackBrowserData.
- vexyeqjинформационен модул; изтегляне и използване БНК, интегрира клипър и криптиране.
- neq_cdyd_ilvcmwxизвличане на файлове към C2.
- xmyyeqjx: постоянство от LaunchDaemon.
- Хейпостоянство чрез Git.
- ПоследванеКражба на данни от Firefox с модифициран HackBrowserData.
Фокусът върху Firefox е особено важен, защото разширява обхвата си отвъд Chromium и SafariТова означава, че кръгът от потенциални жертви се увеличава и техниките за извличане на идентификационни данни и „бисквитки“ се усъвършенстват за множество браузърни двигатели.
Кражба на криптовалута чрез отвличане на клипборда
Една от най-важните възможности в тази еволюция е модулът „клипер“. Следи клипборда за регулярни изрази, които съответстват на адреси на криптовалути (различни формати на портфейли). Веднага щом открие съвпадение, незабавно замества адреса с такъв, контролиран от нападателя.
Тази атака не изисква повишени привилегии, за да причини щети: Жертвата копира адреса си от портфейла си, поставя го, за да изпрати средства, и несъзнателно го прехвърля на нападателя.Както екипът на Microsoft посочи, това подкопава доверието в нещо толкова основно като копирането и поставянето.
Комбинацията от кражба на данни от Clipper и браузър прави XCSSET... Практическа заплаха за киберпрестъпниците, фокусирана върху крипто активитеТе могат да получават сесийни бисквитки, запазени пароли и дори да пренасочват транзакции, без да докосват видимия баланс на жертвата, докато не стане твърде късно.
Други тактики на упоритост и камуфлаж
В допълнение към „zshrc“ и „dock“, Microsoft описва, че този вариант добавя Записи на LaunchDaemon, които изпълняват полезен товар в ~/.rootТози механизъм осигурява ранно и стабилно стартиране и се маскира сред тълпата от системни услуги, зареждащи се във фонов режим.
Наблюдавано е и създаването на Фалшифицирано приложение System Settings.app в /tmp, което позволява на зловредния софтуер да прикрие дейността си под прикритието на легитимно системно приложение. Този тип имитация помага да се избегнат подозрения при проверка на процеси или пътища по време на произволно изпълнение.
Успоредно с това, работата по обфускация на XCSSET отново е в светлината на прожекторите: По-сложно криптиране, произволни имена на модули и AppleScripts, които се изпълняват самоВсичко сочи към удължаване на жизнения цикъл на кампанията, преди тя да бъде неутрализирана от сигнатури и правила за откриване.
Исторически възможности: отвъд браузъра
Поглеждайки назад, XCSSET не се е ограничавал само до изпразване на браузъри. Способността му да извличане на данни от приложения като Google Chrome, Opera, Telegram, Evernote, Skype, WeChat и собствени приложения на Apple, като например Контакти и бележкиТоест, набор от източници, които включват съобщения, продуктивност и лични данни.
През 2021 г. доклади като този на Jamf описаха как XCSSET е експлоатирал CVE-2021-30713, заобикаляне на TCC рамката, да пия снимки на екрана на работния плот без да иска разрешение. Това умение е в съответствие с ясна цел: шпионира и събира чувствителни материали с минимално триене за потребителя.
С течение на времето зловредният софтуер беше коригиран, за да Съвместимост с macOS Monterey и с чиповете M1, нещо, което подчертава неговото непрекъснатост и поддръжка от страна на нападателитеИ до днес точният произход на операцията остава неясен.
Как се промъква в Xcode проекти
Разпределението на XCSSET не е детайлизирано до милиметър, но всичко показва, че Възползвайте се от споделянето на Xcode проекти между разработчициАко дадено хранилище или пакет вече е компрометиран, всяко последващо компилиране активира злонамерения код.
Този модел превръща екипите за разработка в привилегировани вектори на разпространение, особено в среди с небрежни практики за проверка на зависимости, скриптове за изграждане или споделени шаблони. Това е напомняне, че верига за доставки на софтуер се е превърнал в повтаряща се мишена.
Предвид този сценарий, е логично новият вариант да подсилва логиката за решаване къде да се вмъкнат полезни товари в проектаКолкото по-„естествено“ изглежда местоположението ви, толкова по-малка е вероятността разработчикът да го забележи при бързо сканиране.
Ергономичност на атаката: грешки, етапи и признаци
Microsoft вече обяви подобрения на XCSSET по-рано тази година. управление на грешки и постоянствоВажното е, че сега се вписва в поетапна верига за заразяване: AppleScript, който стартира команда на shell, която изтегля друг последен AppleScript, който от своя страна събира системна информация и стартира подмодули.
Ако търсите знаци, наличието на ~/.zshrc_aliases, манипулации в ~/.zshrc, подозрителни записи в LaunchDaemons или странен System Settings.app в /tmp Това са индикатори, за които трябва да се внимава. Всяка аномална активност в Dock (напр. подменени пътища на Launchpad) също би трябвало да задейства аларми.
В управлявани среди, SOC трябва да калибрират правилата, които преследват Необичаен osascript, повтарящи се извиквания към dockutil и артефакти, кодирани или криптирани в Base64 свързани с процесите на изграждане на Xcode и използване на инструменти за преглед на изпълняваните процеси в macOSКонтекстът на компилацията е ключов за намаляване на фалшивите положителни резултати.
Кого е насочен XCSSET?
Естественият фокус е върху тези, които разработват или компилират с Xcode, но въздействието може да се разпростре и върху потребители, които инсталирайте вградени приложения от замърсени проекти. Финансовата част се появява в отвличане на клипборда, особено важно за тези, които редовно боравят с криптовалути.
В сферата на данните, извличане от Firefox и други приложения излага на риск идентификационните данни, бисквитките на сесията и личните бележки. Добавете към това и наследените възможности на снимки на екрана, криптиране на файлове и бележки за откуп, картината е повече от пълна.
Атаките, открити досега, изглежда ограничен по обхват, но както често се случва, истинският мащаб на кампанията може да отнеме време, за да се прояви. Модулността улеснява бързите итерации, промените в имената и фина настройка, за да се избегне откриване.
Практически препоръки за намаляване на риска
Първо, актуализирайте дисциплината: Поддържайте macOS и приложенията актуални и обмислете решения против злонамерен софтуерXCSSET вече е използвал уязвимости, включително такива от типа „нулев ден“, така че надграждането до най-новата версия значително намалява повърхността за атака.
Второ, инспектиране на Xcode проекти които изтегляте или клонирате от хранилища, и бъдете изключително внимателни с това, което компилирате. Прегледайте скриптовете за изграждане, Фази на изпълнение на скрипта, зависимости и всички файлове, които се изпълняват в процеса на изграждане.
Трето, бъдете внимателни с клипборда. Избягвайте копирането/поставянето на непроверени адреси на портфейлиПроверете отново първия и последния символ, преди да потвърдите транзакциите. Това е малък жест, който може да ви спести много проблеми.
Четвърто, телеметрия и лов. Следи osascript, dockutil, промените в ~/.zshrc и LaunchDaemonsАко управлявате автопаркове, включете EDR правила, които откриват необичайни компилирани AppleScripts или повтарящи се качвания на код в процесите на изграждане.
Страстен писател за света на байтовете и технологиите като цяло. Обичам да споделям знанията си чрез писане и това е, което ще направя в този блог, ще ви покажа всички най-интересни неща за джаджи, софтуер, хардуер, технологични тенденции и много други. Моята цел е да ви помогна да се ориентирате в дигиталния свят по лесен и забавен начин.