- Ny variant af XCSSET med avanceret obfuskation og multipel persistens (zshrc, Dock og LaunchDaemon).
- Udvider datatyveri til Firefox og tilføjer clipper for at omdirigere kryptotransaktioner fra clipboard.
- Infektion af delte Xcode-projekter: Run-only AppleScripts, omdøbte moduler og C2-eksfiltrering.
- Anbefalinger: Opdater macOS, revider projekter før opbygning, og overvåg osascript/dockutil.
Familien af malware XCSSET til macOS er vendt tilbage med en forbedret variant, og det er ikke nogen lille bedrift: Microsoft Threat Intelligence har identificeret betydelige ændringer i teknikker til obfuskation, persistens og datatyveri. der hæver barren for denne gamle bekendtskab. Hvis du arbejder med Xcode eller deler projekter mellem teams, vil du gerne holde dig opdateret på, hvad der sker.
Siden XCSSET blev opdaget i 2020, har det tilpasset sig ændringer i Apples økosystem. Det, der nu observeres, er den første offentligt dokumenterede nye variant siden 2022., opdaget i begrænsede angreb, men med udvidede muligheder. Dette er en modulær malware, der sniger sig ind i Xcode-projekter for at udføre sin nyttelast, når de kompileres, og i denne iteration inkorporerer den mere snedige taktikker for at camouflere sig selv og fortsætte.
Hvad er XCSSET, og hvorfor spredes det så godt?
I bund og grund er XCSSET et sæt af ondsindede moduler designet til at inficere Xcode-projekter og aktivere deres funktioner under opbygningenDen mest plausible spredningsvektor er deling af projektfiler mellem samarbejdende udviklere. apps til macOS, hvilket mangedobler udførelsesmulighederne i hvert build.
Denne malware har historisk set været i stand til at udnytte zero-day sårbarheder, injicere kode i projekter og endda introducere bagdøre i komponenter i Apple-økosystemet, såsom SafariGennem sin udvikling har den også tilføjet kompatibilitet med nyere versioner af macOS og Apple Silicon (M1) arkitekturer, hvilket demonstrerer en bemærkelsesværdig tilpasningsevne.
På jorden fungerer XCSSET som informationstyv og cryptocurrencyer i stand til at indsamle data fra populære programmer (Evernote, Notes, Skype, Telegram, QQ, WeChat og mere), eksfiltrere system- og applikationsfiler og specifikt målrette digitale tegnebøger. Derudover har nogle varianter vist sig Uautoriserede skærmbilleder, filkryptering og udrulning af løsesumsnotater.
Hvad er nyt i den seneste variant
Microsoft har detaljeret, at den seneste variant indeholder Nye metoder til obfuskation, persistens og infektionsstrategierVi taler ikke længere kun om navnebytte eller kodekomprimering: der er nu mere tilfældighed i den måde, den genererer sine nyttelast på for at forurene Xcode-projekter.
En slående ændring er den kombinerede brug af kodningsteknikker. Mens tidligere iterationer udelukkende var afhængige af xxd (hexdump), Den nye version tilføjer Base64 og anvender et tilfældigt antal iterationer., hvilket gør det vanskeligere at identificere og optrevle lasten.
Modulernes interne navne er også mere skjulte end nogensinde: De er tilsløret på kodeniveau for at skjule deres formål.Dette komplicerer statisk analyse og korrelationen mellem funktioner og observerbare effekter i systemet.
Persistens: metoderne “zshrc” og “dock”
Et af kendetegnene ved denne tilbagevenden af XCSSET er to meget forskellige veje til at holde sig i live efter infektion. Metoden "zshrc" udnytter shell-konfigurationen til at køre automatisk i hver session., og "dock"-metoden manipulerer systemgenveje for at udføre den ondsindede nyttelast transparent for brugeren.
I "zshrc"-tilgangen opretter malwaren en fil kaldet ~/.zshrc_aliaser med nyttelasten og tilføjer derefter en kommando til ~/.zshrc, der sikrer, at filen indlæses, hver gang en ny session åbnes. Dette sikrer persistens på tværs af alle terminaler uden at give anledning til åbenlyse mistanker.
"Dock"-planen involverer download af et signeret værktøj fra kommando- og kontrolserveren, dockutil, til at administrere Dock-elementerDen opretter derefter en falsk Launchpad-app og erstatter stien til den legitime Launchpad i Dock med den falske app. Resultat: hver gang brugeren starter Launchpad fra Dock, åbnes den rigtige, og parallelt hermed... den ondsindede nyttelast er aktiveret.
Som en forstærkning introducerer varianten Nye kriterier for at bestemme, hvor i Xcode-projektet nyttelasten skal indsættesDette optimerer effekten og minimerer chancerne for, at udvikleren opdager noget usædvanligt, når de gennemgår projekttræet.
AppleScript, stealth-udførelse og infektionskæde
Microsofts forskning beskriver, at XCSSET bruger AppleScripts kompileret i kørselstilstand at køre lydløst og forhindre direkte analyse i at afsløre dens indhold. Denne teknik passer til dens mål om usynlighed og omgåelse af scriptinspektionsværktøjer.
I den fjerde fase af infektionskæden observeres det, at Et AppleScript-program kører en shell-kommando for at downloade den sidste faseDenne endelige AppleScript indsamler information fra det kompromitterede system og starter undermoduler ved at kalde boot()-funktionen, som orkestrerer den modulære implementering af funktioner.
Der er også blevet registreret logiske ændringer: Yderligere kontroller for Firefox-browseren og en anden metode til at bekræfte tilstedeværelsen af Telegram-beskedappen. Disse er ikke små detaljer; de indikerer en klar intention om at gøre dataindsamling mere pålidelig og udvide dens omfang.
Omdøbte moduler og nye dele
Med hver revision ændrede XCSSET-familien navnene på sine moduler en smule, et klassisk kat-og-mus-spil, til gøre det vanskeligt at spore versioner og signaturerAlligevel forbliver dens funktionalitet generelt ensartet.
Blandt de fremhævede moduler i denne variant vises identifikatorer som f.eks. vexyeqj (tidligere seizecj), som download et andet modul kaldet bnk og kører det ved hjælp af osascript. Dette script tilføjer datavalidering, kryptering, dekryptering, hentning af yderligere indhold fra C2 og hændelseslogningsfunktioner og inkluderer "clipper"-komponenten.
Det er også nævnt neq_cdyd_ilvcmwx, svarende til txzx_vostfdi, som er ansvarlig for eksfiltrer filer til kommando- og kontrolserveren; modulet xmyyeqjx der forbereder LaunchDaemon-baseret persistens; Jey (tidligere jez) der konfigurerer en persistens via Git, Og iewmilh_cdyd, ansvarlig for at stjæle data fra Firefox ved hjælp af en modificeret version af det offentlige HackBrowserData-værktøj.
- vexyeqjinformationsmodul; download og brug BNK, integrerer clipper og kryptering.
- neq_cdyd_ilvcmwx: udfiltrering af filer til C2.
- xmyyeqjx: persistens af LaunchDaemon.
- Jey: vedholdenhed gennem Git.
- iewmilh_cdydFirefox-datatyveri med modificerede HackBrowserData.
Fokuset på Firefox er særligt relevant, fordi udvider rækkevidden ud over Chromium og SafariDet betyder, at antallet af potentielle ofre stiger, og teknikker til udtrækning af legitimationsoplysninger og cookies forfines til flere browsermotorer.
Kryptovaluta-tyveri ved hjælp af hijacking af udklipsholder
En af de funktioner, der er størst bekymring i denne udvikling, er "clipper"-modulet. Overvåger udklipsholderen for regulære udtryk, der matcher kryptovalutaadresser (forskellige tegnebogsformater). Så snart den registrerer et match, erstatter den straks adressen med en, der kontrolleres af angriberen.
Dette angreb kræver ikke forhøjede rettigheder for at forårsage kaos: Offeret kopierer deres adresse fra sin tegnebog, indsætter den for at sende penge og overfører den ubevidst til angriberen.Som Microsoft-teamet påpegede, undergraver dette tilliden til noget så grundlæggende som at kopiere og indsætte.
Kombinationen af clipper og browserdatatyveri gør XCSSET til en En praktisk trussel mod cyberkriminelle med fokus på kryptoaktiverDe kan indhente sessionscookies, gemte adgangskoder og endda omdirigere transaktioner uden at røre offerets synlige saldo, før det er for sent.
Andre taktikker for vedholdenhed og camouflage
Ud over “zshrc” og “dock” beskriver Microsoft, at denne variant tilføjer LaunchDaemon-poster, der udfører en nyttelast i ~/.rootDenne mekanisme sikrer en tidlig og stabil opstart og camouflerer sig selv blandt virvaret af systemtjenester, der indlæses i baggrunden.
Oprettelsen af en er også blevet observeret Forfalskede System Settings.app i /tmp, hvilket gør det muligt for malware at skjule sin aktivitet under dække af en legitim systemapp. Denne type efterligning hjælper med at undgå mistanke ved inspektion af processer eller stier under tilfældig udførelse.
Parallelt hermed er XCSSETs forvirringsarbejde tilbage i rampelyset: Mere sofistikeret kryptering, tilfældige modulnavne og AppleScripts, der kun kørerAlt peger på, at kampagnens levetid forlænges, før den neutraliseres af signaturer og detektionsregler.
Historiske muligheder: ud over browseren
Når man ser tilbage, har XCSSET ikke kun været begrænset til at tømme browsere. Dens evne til at udtræk data fra apps som f.eks. Google Chrome, Opera, Telegram, Evernote, Skype, WeChat og Apples egne applikationer som f.eks. Kontakter og noterDet vil sige en række kilder, der omfatter beskeder, produktivitet og personlige data.
I 2021 beskrev rapporter som Jamfs, hvordan XCSSET udnyttede CVE-2021-30713, en omgåelse af TCC-frameworket, at drikke skærmbilleder på skrivebordet uden at bede om tilladelse. Denne færdighed passer til et klart mål: spionere på og indsamle følsomt materiale med minimal friktion for brugeren.
Med tiden blev malwaren justeret til macOS Monterey-kompatibilitet og med M1-chipsene, noget der understreger dens kontinuitet og vedligeholdelse fra angribernes sideDen dag i dag er operationens nøjagtige oprindelse stadig uklar.
Hvordan det sniger sig ind i Xcode-projekter
Fordelingen af XCSSET er ikke detaljeret ned til millimeteren, men alt tyder på det, Udnyt Xcode-projektdeling mellem udviklereHvis et arkiv eller en pakke allerede er kompromitteret, aktiverer enhver efterfølgende build den skadelige kode.
Dette mønster forvandler udviklingsteams til privilegerede forplantningsvektorer, især i miljøer med slappe afhængighedskontrolpraksisser, build-scripts eller delte skabeloner. Det er en påmindelse om, at softwareforsyningskæde er blevet et tilbagevendende mål.
I betragtning af dette scenarie giver det mening, at den nye variant forstærker logikken bag at beslutte, hvor nyttelast skal indsættes i projektetJo mere "naturlig" din placering fremstår, jo mindre sandsynligt er det, at en udvikler vil opdage den i en hurtig scanning.
Angrebsergonomi: fejl, stadier og tegn
Microsoft havde allerede annonceret forbedringer til XCSSET tidligere i år. fejlhåndtering og vedholdenhedDet vigtige er, at det nu passer ind i en trinvis infektionskæde: et AppleScript, der starter en shell-kommando, som downloader endnu et sidste AppleScript, som igen indsamler systeminformation og starter undermoduler.
Hvis du leder efter tegn, tilstedeværelsen af ~/.zshrc_aliaser, manipulationer i ~/.zshrc, mistænkelige poster i LaunchDaemons eller en mærkelig System Settings.app i /tmp Disse er indikatorer, man skal være opmærksom på. Enhver unormal aktivitet i Dock (f.eks. udskiftede Launchpad-stier) bør også udløse alarmer.
I administrerede miljøer bør SOC'er kalibrere regler, der forfølger Usædvanligt osascript, gentagne kald til dockutil og Base64-kodede eller krypterede artefakter knyttet til Xcode-byggeprocesser og bruge værktøjer til se kørende processer på macOSKonteksten for kompileringen er nøglen til at reducere falske positiver.
Hvem henvender XCSSET sig til?
Det naturlige fokus er dem, der udvikler eller kompilerer med Xcode, men effekten kan strække sig til brugere, der installer indbyggede apps fra forurenede projekter. Den økonomiske del fremgår af kapring af udklipsholder, især relevant for dem, der regelmæssigt håndterer kryptovalutaer.
Inden for dataområdet, den udfiltrering fra Firefox og andre apps sætter loginoplysninger, sessionscookies og personlige noter i fare. Læg dertil de ældre funktioner i skærmbilleder, filkryptering og løsesumsnotater, billedet er mere end komplet.
De angreb, der indtil videre er opdaget, synes at begrænset i omfang, men som det ofte er tilfældet, kan det tage tid at kampagnens sande omfang viser sig. Modularitet muliggør hurtige iterationer, navneændringer og finjustering for at undgå detektion.
Praktiske anbefalinger til at reducere risikoen
Først, opdater disciplinen: Hold macOS og apps opdaterede og overveje antimalware-løsningerXCSSET har allerede udnyttet sårbarheder, herunder zero-day sårbarheder, så opgradering til den nyeste version reducerer angrebsfladen betydeligt.
For det andet, inspicer Xcode-projekter som du downloader eller kloner fra repositories, og vær yderst forsigtig med, hvad du kompilerer. Gennemgå byggescripts, Kør scriptfaser, afhængigheder og alle filer, der udføres i byggeprocessen.
For det tredje, vær forsigtig med udklipsholderen. Undgå at kopiere/indsætte ubekræftede tegnebogsadresserDobbelttjek det første og sidste tegn, før du bekræfter transaktioner. Det er en lille gestus, der kan spare dig for en masse besvær.
For det fjerde, telemetri og jagt. Overvåger osascript, dockutil, ændringer til ~/.zshrc og LaunchDaemonsHvis du administrerer flåder, skal du inkorporere EDR-regler, der registrerer usædvanlige kompilerede AppleScripts eller gentagne kodede uploads i byggeprocesser.
Passioneret forfatter om bytes-verdenen og teknologien generelt. Jeg elsker at dele min viden gennem skrivning, og det er det, jeg vil gøre i denne blog, vise dig alle de mest interessante ting om gadgets, software, hardware, teknologiske trends og mere. Mit mål er at hjælpe dig med at navigere i den digitale verden på en enkel og underholdende måde.