- Nova varijanta XCSSET-a sa naprednim obfuskacijom i višestrukom perzistencijom (zshrc, Dock i LaunchDaemon).
- Proširuje krađu podataka na Firefox i dodaje Clipper za preusmjeravanje kripto transakcija sa međuspremnik.
- Infekcija dijeljenih Xcode projekata: AppleScripts-ovi koji se mogu samo pokrenuti, preimenovani moduli i eksfiltracija C2.
- Preporuke: Ažurirajte macOS, revidirajte projekte prije izgradnje i pratite osascript/dockutil.
Porodica od malware XCSSET za macOS se vratio s poboljšanom varijantom, i to nije mali podvig: Microsoft Threat Intelligence je identifikovao značajne promjene u tehnikama obfuskacije, perzistencije i krađe podataka. što podiže ljestvicu ovom starom poznaniku. Ako radite s Xcodeom ili dijelite projekte između timova, poželjet ćete biti u toku sa svim dešavanjima.
Od svog otkrića 2020. godine, XCSSET se prilagođava promjenama u Appleovom ekosistemu. Ono što se sada posmatra je prva javno dokumentovana nova varijanta od 2022. godine., otkriven u ograničenim napadima, ali s proširenim mogućnostima. Ovo je modularni zlonamjerni softver koji se ušunja u Xcode projekte kako bi izvršio svoj korisni sadržaj kada se kompajliraju, a u ovoj iteraciji uključuje lukavije taktike kako bi se kamuflirao i opstao.
Šta je XCSSET i zašto se tako dobro širi?
U suštini, XCSSET je skup zlonamjernih modula dizajniranih da zaraziti Xcode projekte i aktivirati njihove funkcije tokom izgradnjeNajvjerovatniji vektor širenja je dijeljenje projektnih datoteka između programera koji sarađuju. aplikacije za macOS, što umnožava mogućnosti izvršavanja u svakoj verziji.
Ovaj zlonamjerni softver je historijski bio u stanju iskoristiti zero-day ranjivosti, ubrizgavanje koda u projekte, pa čak i uvođenje backdoor-ova u komponente Apple ekosistema kao što je SafariTokom svoje evolucije, dodana je i kompatibilnost s novijim verzijama macOS i Apple Silicon (M1) arhitektura, demonstrirajući izuzetnu prilagodljivost.
Na terenu, XCSSET funkcioniše kao kradljivac informacija i kriptokutencijeMože prikupljati podatke iz popularnih programa (Evernote, Notes, Skype, Telegram, QQ, WeChat i više), kradu sistemske i aplikacijske datoteke, a posebno ciljaju digitalne novčanike. Osim toga, neke varijante su pokazale Neovlašteni snimci ekrana, šifriranje datoteka i slanje poruka s zahtjevom za otkupninu.
Šta je novo u najnovijoj varijanti
Microsoft je detaljno opisao da najnovija varijanta uključuje Nove metode obfuskacije, perzistencije i strategija infekcijeViše ne govorimo samo o zamjeni imena ili kompresiji koda: sada postoji više slučajnosti u načinu na koji generira svoje korisne sadržaje kako bi kontaminirao Xcode projekte.
Upečatljiva promjena je kombinovana upotreba tehnika kodiranja. Dok su se prethodne iteracije oslanjale isključivo na xxd (hexdump), Nova verzija dodaje Base64 i primjenjuje nasumični broj iteracija, što otežava identifikaciju i raspetljavanje tereta.
Interna imena modula su također skrivenija nego ikad: Zamaskirani su na nivou koda kako bi sakrili svoju svrhu.Ovo komplikuje statičku analizu i korelaciju između funkcija i uočljivih efekata u sistemu.
Perzistentnost: metode "zshrc" i "dock"
Jedna od karakteristika ovog povratka XCSSET-a su dva vrlo različita puta preživljavanja nakon infekcije. Metoda "zshrc" koristi konfiguraciju ljuske za automatsko pokretanje u svakoj sesiji., a metoda „dock“ manipuliše sistemskim prečicama kako bi izvršavala zlonamjerni paket transparentno za korisnika.
U pristupu „zshrc“, zlonamjerni softver kreira datoteku pod nazivom ~/.zshrc_aliases sa korisnim teretom a zatim dodaje naredbu u ~/.zshrc koja osigurava da se datoteka učitava svaki put kada se otvori nova sesija. Ovo osigurava postojanost na svim terminalima bez izazivanja ikakvih očiglednih sumnji.
Plan "dockinga" uključuje preuzimanje potpisanog alata sa komandnog i kontrolnog servera, dockutil, za upravljanje Dock elementimaZatim kreira lažnu Launchpad aplikaciju i zamjenjuje putanju do legitimne Launchpad aplikacije u Docku tom lažnom aplikacijom. Rezultat: svaki put kada korisnik pokrene Launchpad iz Docka, otvara se prava aplikacija i, paralelno s tim, Zlonamjerni teret je aktiviran.
Kao pojačanje, varijanta uvodi Novi kriteriji za odlučivanje gdje u Xcode projektu umetnuti korisni teretOvo optimizuje uticaj i minimizira šanse da programer uoči nešto neobično prilikom pregleda stabla projekta.
AppleScript, prikriveno izvršavanje i lanac infekcije
Microsoftovo istraživanje opisuje da XCSSET koristi AppleScripts kompajlirani u režimu samo za izvršavanje da se izvršava tiho i spriječi direktnu analizu da otkrije njegov sadržaj. Ova tehnika se uklapa u njen cilj nevidljivosti i izbjegavanja alata za pregled skripti.
U četvrtoj fazi lanca infekcije, primjećuje se da AppleScript aplikacija pokreće shell naredbu za preuzimanje završne fazeOvaj konačni AppleScript prikuplja informacije iz kompromitovanog sistema i pokreće podmodule pozivanjem funkcije boot(), koja orkestrira modularno raspoređivanje mogućnosti.
Također su otkrivene logičke promjene: Dodatne provjere za Firefox preglednik i drugačija metoda za potvrdu prisutnosti aplikacije za razmjenu poruka Telegram. Ovo nisu mali detalji; oni ukazuju na jasnu namjeru da se prikupljanje podataka učini pouzdanijim i proširi njegov opseg.
Preimenovani moduli i novi dijelovi
Sa svakom revizijom, XCSSET porodica je neznatno mijenjala nazive svojih modula, klasičnu igru mačke i miša. otežavaju praćenje verzija i potpisaUprkos tome, njegova funkcionalnost uglavnom ostaje konzistentna.
Među istaknutim modulima ove varijante pojavljuju se identifikatori kao što su vexyeqj (ranije seisecj), koji preuzmite još jedan modul pod nazivom bnk i pokreće ga pomoću osascripta. Ovo skripta dodaje validaciju podataka, šifriranje, dešifriranje, preuzimanje dodatnog sadržaja iz C2 i mogućnosti evidentiranja događaja, te uključuje komponentu "clipper".
Također se spominje neq_cdyd_ilvcmwx, slično kao txzx_vostfdi, koji je odgovoran za izvlačenje datoteka na komandni i kontrolni servermodul xmyyeqjx koji priprema Perzistentnost zasnovana na LaunchDaemon-u; hej (ranije jez) koji konfiguriše perzistencija putem Gita; y iewmilh_cdyd, odgovoran za krađu podataka iz Firefoxa korištenjem modificirane verzije javnog alata HackBrowserData.
- vexyeqj: informacioni modul; preuzimanje i korištenje BNK, integriše kliper i enkripciju.
- neq_cdyd_ilvcmwxIzmještanje datoteka u C2.
- xmyyeqjx: perzistencija od strane LaunchDaemona.
- hejperzistentnost putem Gita.
- iewmilh_cdydKrađa podataka iz Firefoxa pomoću modificiranog HackBrowserData.
Fokus na Firefox je posebno relevantan, jer proširuje doseg izvan Chromiuma i SafarijaTo znači da se raspon potencijalnih žrtava povećava, a tehnike ekstrakcije akreditiva i kolačića se usavršavaju za više pretraživača.
Krađa kriptovaluta korištenjem otmice međuspremnika
Jedna od mogućnosti od najveće važnosti u ovoj evoluciji je modul "clipper". Prati međuspremnik za regularne izraze koji odgovaraju adresama kriptovaluta (različiti formati novčanika). Čim otkrije podudaranje, odmah zamjenjuje adresu onom koju kontrolira napadač.
Ovaj napad ne zahtijeva povišene privilegije da bi izazvao haos: Žrtva kopira svoju adresu iz novčanika, unosi je da bi poslala novac i nesvjesno je prenosi napadaču.Kao što je Microsoftov tim istakao, ovo narušava povjerenje u nešto tako osnovno kao što je kopiranje i lijepljenje.
Kombinacija krađe podataka iz programa Clipper i preglednika čini XCSSET... Praktična prijetnja sajber kriminalcima usmjerena na kripto imovinuMogu dobiti kolačiće sesije, sačuvane lozinke, pa čak i preusmjeriti transakcije bez dodirivanja vidljivog stanja žrtve dok ne bude prekasno.
Druge taktike upornosti i kamuflaže
Pored "zshrc" i "dock", Microsoft opisuje da ova varijanta dodaje Unosi LaunchDaemon-a koji izvršavaju korisni teret u ~/.rootOvaj mehanizam osigurava rano i stabilno pokretanje i kamuflira se među mnoštvom sistemskih servisa koji se učitavaju u pozadini.
Također je uočeno stvaranje Lažna aplikacija System Settings.app u /tmp, što omogućava zlonamjernom softveru da prikrije svoju aktivnost pod krinkom legitimne sistemske aplikacije. Ova vrsta lažnog predstavljanja pomaže u izbjegavanju sumnje prilikom pregleda procesa ili putanja tokom nasumičnog izvršavanja.
Paralelno s tim, XCSSET-ov rad na obfuskaciji ponovo je u centru pažnje: Sofisticiranije šifriranje, nasumična imena modula i AppleScripts-ovi koji se mogu samo pokrenutiSve ukazuje na produženje životnog vijeka kampanje prije nego što je neutraliziraju potpisi i pravila detekcije.
Historijske mogućnosti: izvan preglednika
Gledajući unatrag, XCSSET nije bio ograničen samo na pražnjenje preglednika. Njegova sposobnost da izvlačenje podataka iz aplikacija kao što su Google Chrome, Opera, Telegram, Evernote, Skype, WeChat i Appleove vlastite aplikacije kao što su Kontakti i bilješkeTo jest, niz izvora koji uključuju razmjenu poruka, produktivnost i lične podatke.
Izvještaji poput Jamfovog iz 2021. godine opisali su kako je XCSSET iskorištavao CVE-2021-30713, zaobilaženje TCC okvira, piti snimci ekrana na radnoj površini bez traženja dozvole. Ova vještina se uklapa u jasan cilj: špijunirati i prikupljati osjetljivi materijal uz minimalno trenje za korisnika.
Vremenom je zlonamjerni softver prilagođen Kompatibilnost sa macOS Montereyjem a sa M1 čipovima, nešto što naglašava njegovo kontinuitet i održavanje od strane napadačaDo danas, tačno porijeklo operacije ostaje nejasno.
Kako se ušunja u Xcode projekte
Distribucija XCSSET-a nije detaljno opisana do milimetra, ali sve ukazuje na to. Iskoristite prednosti dijeljenja Xcode projekata između programeraAko je repozitorij ili paket već kompromitovan, svaka sljedeća verzija aktivira zlonamjerni kod.
Ovaj obrazac pretvara razvojne timove u privilegovani vektori propagacije, posebno u okruženjima s labavim praksama provjere zavisnosti, skriptama za izgradnju ili dijeljenim predlošcima. To je podsjetnik da lanac snabdijevanja softverom postao je stalna meta.
S obzirom na ovaj scenario, logično je da nova varijanta pojačava logika za odlučivanje gdje umetnuti korisne terete unutar projektaŠto vaša lokacija izgleda „prirodnije“, manja je vjerovatnoća da će je programer uočiti brzim skeniranjem.
Ergonomija napada: greške, faze i znaci
Microsoft je već ranije ove godine najavio poboljšanja XCSSET-a. upravljanje greškama i upornostVažno je da se sada uklapa u lanac infekcije korak po korak: AppleScript koji pokreće shell naredbu, koja preuzima još jedan konačni AppleScript, koji zauzvrat prikuplja sistemske informacije i pokreće podmodule.
Ako tražite znakove, prisustvo ~/.zshrc_aliases, manipulacije u ~/.zshrc, sumnjivi unosi u LaunchDaemons ili čudna datoteka System Settings.app u /tmp Ovo su indikatori na koje treba obratiti pažnju. Svaka anomalna aktivnost u Docku (npr. zamijenjene putanje Launchpada) također bi trebala pokrenuti alarme.
U upravljanim okruženjima, SOC-ovi bi trebali kalibrirati pravila koja slijede Neobičan osascript, ponovljeni pozivi dockutilu i artefakti kodirani ili šifrirani u Base64 formatu povezano s procesima izgradnje Xcode-a i korištenjem alata za pregled pokrenutih procesa na macOS-uKontekst kompilacije je ključan za smanjenje lažno pozitivnih rezultata.
Na koga cilja XCSSET?
Prirodni fokus je na onima koji razvijaju ili kompajliraju pomoću Xcode-a, ali uticaj se može proširiti i na korisnike koji instalirajte ugrađene aplikacije od kontaminiranih projekata. Finansijski dio se pojavljuje u otmica međuspremnika, posebno relevantno za one koji redovno rukuju kriptovalutama.
U sferi podataka, krađa iz Firefoxa i drugih aplikacija dovodi u opasnost akreditive, kolačiće sesije i lične bilješke. Dodajte tome zastarjele mogućnosti snimci ekrana, šifriranje datoteka i poruke s zahtjevom za otkupninu, slika je više nego potpuna.
Čini se da do sada otkriveni napadi ograničenog opsega, ali kao što je često slučaj, pravi obim kampanje može potrajati dok se ne pokaže. Modularnost olakšava brze iteracije, promjene imena i fino podešavanje kako bi se izbjeglo otkrivanje.
Praktične preporuke za smanjenje rizika
Prvo, ažurirajte disciplinu: Redovno ažurirajte macOS i aplikacije i razmotriti rješenja za zaštitu od zlonamjernog softveraXCSSET je već iskoristio ranjivosti, uključujući i one zero-day, tako da nadogradnja na najnoviju verziju značajno smanjuje površinu napada.
Drugo, pregledati Xcode projekte koje preuzimate ili klonirate iz repozitorija i budite izuzetno oprezni s onim što kompajlirate. Pregledajte skripte za izgradnju, Faze pokretanja skripte, zavisnosti i sve datoteke koje se izvršavaju tokom procesa izgradnje.
Treće, budite oprezni s međuspremnikom. Izbjegavajte kopiranje/lijepljenje neprovjerenih adresa novčanikaDvaput provjerite prvi i posljednji znak prije potvrde transakcija. To je mali gest koji vam može uštedjeti mnogo problema.
Četvrto, telemetrija i lov. Prati osascript, dockutil, promjene u ~/.zshrc i LaunchDaemonsAko upravljate voznim parkom, uključite EDR pravila koja otkrivaju neobične kompajlirane AppleScriptove ili ponovljena kodirana učitavanja u procesima izgradnje.
Strastveni pisac o svijetu bajtova i tehnologije općenito. Volim dijeliti svoje znanje kroz pisanje, a to je ono što ću raditi na ovom blogu, pokazivati vam sve najzanimljivije stvari o gadžetima, softveru, hardveru, tehnološkim trendovima i još mnogo toga. Moj cilj je pomoći vam da se krećete u digitalnom svijetu na jednostavan i zabavan način.