XCSSET macOS-is: kuidas selle uus variant töötab ja kuidas ennast kaitsta

Perekond malware XCSSET macOS-i jaoks on naasnud täiustatud variandiga ja see pole sugugi väike saavutus: Microsoft Threat Intelligence on tuvastanud olulisi muutusi andmete varjamise, püsivuse ja varguse tehnikates. mis tõstavad selle vana tutvuse lati kõrgemale. Kui töötad Xcode'iga või jagad projekte meeskondade vahel, tahad kindlasti toimuvaga kursis olla.

Alates avastamisest 2020. aastal on XCSSET kohanenud Apple'i ökosüsteemi muutustega. Praegu on täheldatud esimest avalikult dokumenteeritud uut varianti alates 2022. aastast., mida tuvastatakse piiratud rünnakutes, kuid millel on laiendatud võimalused. See on modulaarne pahavara, mis hiilib Xcode'i projektidesse, et oma kasulikku infot kompileerimise ajal täita, ning selles versioonis kasutab see enda varjamiseks ja püsimajäämiseks kavalaid taktikaid.

Mis on XCSSET ja miks see nii hästi levib?

Sisuliselt on XCSSET pahatahtlike moodulite kogum, mis on loodud selleks, et nakatada Xcode'i projekte ja aktiveerida nende funktsioone ehituse ajalKõige usutavam levimisvektor on projektifailide jagamine koostööd tegevate arendajate vahel. apps macOS-i jaoks, mis mitmekordistab iga järgu täitmisvõimalusi.

See pahavara on ajalooliselt suutnud ära kasutada nullpäeva haavatavusi, süstida projektidesse koodi ja isegi luua tagauksi Apple'i ökosüsteemi komponentidesse, näiteks SafarisseKogu oma evolutsiooni vältel on see lisanud ühilduvuse ka macOS-i ja Apple Silicon (M1) arhitektuuride uuemate versioonidega, mis näitab märkimisväärset kohanemisvõimet.

Maapinnal töötab XCSSET järgmiselt: info varas ja krüptokursused: suudab koguda andmeid populaarsetest programmidest (Evernote, Notes, Skype, Telegram, QQ, WeChat ja palju muud), filtreerivad süsteemi- ja rakendusfaile ning on suunatud just digitaalsetele rahakottidele. Lisaks on mõned variandid näidanud Volitamata ekraanipildid, failide krüptimine ja lunaraha nõudvate märkuste saatmine.

Mis on uut uusimas variandis

Microsoft on täpsustanud, et uusim variant sisaldab Uued hägustamise, püsivuse ja nakkusstrateegiate meetodidMe ei räägi enam ainult nimevahetusest või koodi tihendamisest: nüüd on Xcode'i projektide saastamiseks mõeldud kasulike koormuste genereerimisel rohkem juhuslikkust.

Silmatorkav muudatus on kodeerimistehnikate kombineeritud kasutamine. Kui varasemad iteratsioonid tuginesid ainult xxd-le (hexdump), siis Uus versioon lisab Base64 ja rakendab juhuslikku arvu iteratsioone, mis raskendab lasti tuvastamist ja lahtipakkimist.

Moodulite sisemised nimed on samuti rohkem varjatud kui kunagi varem: Nende eesmärk on varjamiseks koodi tasandil hägustatud.See raskendab staatilist analüüsi ning funktsioonide ja süsteemis vaadeldavate efektide vahelist korrelatsiooni.

Püsivus: meetodid „zshrc” ja „dock”

Üks XCSSETi tagasituleku tunnusjooni on kaks väga erinevat teed pärast nakatumist ellujäämiseks. Meetod „zshrc” kasutab iga seansi automaatseks käivitamiseks shelli konfiguratsiooni.ja meetod „dokk” manipuleerib süsteemi otseteedega, et pahatahtlikku koormust kasutajale läbipaistvalt käivitada.

„Zshrc” lähenemisviisi puhul loob pahavara faili nimega ~/.zshrc_aliases koos kasuliku koormusega ja seejärel lisab ~/.zshrc failile käsu, mis tagab faili laadimise iga kord, kui uus seanss avatakse. See tagab püsivuse kõigis terminalides ilma ilmseid kahtlusi tekitamata.

„Dokkimisplaan” hõlmab allkirjastatud tööriista allalaadimist käsu- ja juhtimisserverist, dockutil doki elementide haldamiseksSeejärel loob see võltsitud Launchpadi rakenduse ja asendab Dockis oleva tee õigustatud Launchpadi juurde selle võltsitud rakendusega. Tulemus: iga kord, kui kasutaja Dockist Launchpadi käivitab, avaneb päris rakendus ja paralleelselt pahatahtlik koormus aktiveeritakse.

Tugevdusena tutvustab variant Uued kriteeriumid, mille alusel otsustatakse, kuhu Xcode'i projektis kasulik koormus lisadaSee optimeerib mõju ja minimeerib võimalust, et arendaja märkab projektipuu ülevaatamisel midagi ebatavalist.

AppleScript, varjatud käivitamine ja nakkusahel

Microsofti uuring kirjeldab, et XCSSET kasutab AppleScripts kompileeritakse ainult käivitusrežiimis et see töötaks vaikselt ja takistaks otsesel analüüsil selle sisu paljastamist. See tehnika sobib selle nähtamatuse eesmärgiga ja aitab vältida skripte kontrollivaid tööriistu.

Nakkusahela neljandas faasis täheldatakse, et AppleScripti rakendus käivitab viimase etapi allalaadimiseks kestakäsuSee viimane AppleScript kogub ohustatud süsteemist teavet ja käivitab alammoodulid, kutsudes esile funktsiooni boot(), mis juhib võimete modulaarset juurutamist.

Samuti on tuvastatud loogilisi muutusi: Firefoxi brauseri täiendavad kontrollid ja teistsugune meetod Telegrami sõnumsiderakenduse olemasolu kinnitamiseks. Need ei ole pisiasjad; need näitavad selget kavatsust muuta andmete kogumine usaldusväärsemaks ja laiendada selle ulatust.

Ümbernimetatud moodulid ja uued osad

Iga redaktsiooniga muutis XCSSET-i perekond oma moodulite nimesid veidi, mis on klassikaline kassi ja hiire mäng. raskendada versioonide ja allkirjade jälgimistSellegipoolest jääb selle funktsionaalsus üldiselt samaks.

Selle variandi esiletõstetud moodulite hulgas on identifikaatorid, näiteks vexyeqj (endine seizecj), mis laadige alla veel üks moodul nimega bnk ja käivitab selle osascripti abil. See käsikiri lisab andmete valideerimise, krüpteerimise, dekrüpteerimise, C2-st täiendava sisu toomise ja sündmuste logimise võimalused ning sisaldab komponenti „clipper”.

Samuti mainitakse seda neq_cdyd_ilvcmwx, sarnaselt txzx_vostfdi-ga, mis vastutab failide filtreerimine käsu- ja juhtimisserverisse; moodul xmyyeqjx mis valmistab ette LaunchDaemon-põhine püsivus; hei (varem jez), mis konfigureerib a püsivus Giti kaudu, Ja iewmilh_cdyd, mis vastutab Firefoxist andmete varastamise eest avaliku HackBrowserData tööriista modifitseeritud versiooni abil.

• vexyeqjteabemoodul; laadige alla ja kasutage BNK, integreerib lõikuri ja krüpteerimise.
• neq_cdyd_ilvcmwxfailide väljaviimine C2-sse.
• xmyyeqjx: püsivus LaunchDaemoni poolt.
• heipüsivus Giti kaudu.
• iewmilh_cdydFirefoxi andmete vargus muudetud HackBrowserData abil.

Firefoxile keskendumine on eriti asjakohane, sest laiendab ulatust Chromiumi ja Safari piiridest kaugemaleSee tähendab, et potentsiaalsete ohvrite hulk suureneb ning mitme brauserimootori jaoks täiustatakse volituste ja küpsiste ekstraheerimise tehnikaid.

Krüptovaluuta vargus lõikelaua kaaperdamise abil

Üks selle evolutsiooni suurimat muret tekitavaid võimeid on „lõikuri” moodul. Jälgib lõikelaual krüptovaluuta aadressidele vastavaid regulaaravaldisi (erinevad rahakotivormingud). Niipea kui see tuvastab vaste, asendab see aadressi kohe ründaja kontrollitava aadressiga.

See rünnak ei vaja kaose tekitamiseks kõrgendatud õigusi: Ohver kopeerib oma aadressi rahakotist, kleebib selle raha saatmiseks ja edastab selle teadmatult ründajale.Nagu Microsofti meeskond märkis, õõnestab see usaldust millegi nii elementaarse vastu nagu kopeerimine ja kleepimine.

Clipperi ja brauseriandmete varguse kombinatsioon teeb XCSSET-ist suurepärase Krüptovaradele keskendunud küberkurjategijatele praktiline ohtNad saavad hankida seansiküpsiseid, salvestatud paroole ja isegi tehinguid ümber suunata ilma ohvri nähtavat saldot puudutamata, kuni on liiga hilja.

Muud visaduse ja kamuflaaži taktikad

Lisaks „zshrc” ja „docki” variantidele lisab Microsoft ka järgmist: LaunchDaemoni kirjed, mis käivitavad kasuliku faili kataloogis ~/.rootSee mehhanism tagab varajase ja stabiilse käivituse ning maskeerib end taustal laadivate süsteemiteenuste sasipuntra vahele.

Samuti on täheldatud a loomist Võltsitud süsteemiseaded.app kaustas /tmp, mis võimaldab pahavaral varjata oma tegevust legitiimse süsteemirakenduse varjus. Selline isikupärastamine aitab vältida kahtlust protsesside või radade kontrollimisel juhusliku käivitamise ajal.

Paralleelselt on XCSSET-i hämamistöö taas rambivalguses: Keerukam krüptimine, juhuslikud moodulinimed ja ainult käivitatavad AppleScriptidKõik viitab kampaania eluea pikendamisele enne, kui see signatuuride ja tuvastusreeglite abil neutraliseeritakse.

Ajaloolised võimalused: brauserist kaugemale

Tagasi vaadates pole XCSSET piirdunud ainult brauserite tühjendamisega. Selle võime... andmete hankimine rakendustest, näiteks Google Chrome, Opera, Telegram, Evernote, Skype, WeChat ja Apple'i enda rakendused, näiteks Kontaktid ja märkmedSee tähendab mitmesuguseid allikaid, mis hõlmavad sõnumsidet, tootlikkust ja isikuandmeid.

2021. aastal kirjeldasid sellised aruanded nagu Jamfi oma, kuidas XCSSET ära kasutas CVE-2021-30713, TCC raamistiku möödaviik, jooma töölaua ekraanipildid ilma luba küsimata. See oskus sobib selge eesmärgiga: luurama ja koguma tundlikku materjali minimaalse hõõrdumisega kasutajale.

Aja jooksul kohandati pahavara macOS Monterey ühilduvus ja M1 kiipidega, mis rõhutab selle ründajate poolne järjepidevus ja hooldusOperatsiooni täpne päritolu on tänaseni ebaselge.

Kuidas see Xcode'i projektidesse hiilib

XCSSET-i jaotus pole millimeetri täpsusega detailne, kuid kõik viitab sellele Kasutage ära Xcode'i projektide jagamist arendajate vahelKui repositoorium või pakett on juba ohustatud, aktiveerib iga järgnev versioon pahatahtliku koodi.

See muster muudab arendusmeeskonnad privilegeeritud levimisvektorid, eriti keskkondades, kus sõltuvuste kontrollimise tavad, ehitusskriptid või jagatud mallid on leebe. See on meeldetuletus, et tarkvara tarneahel on muutunud korduvaks sihtmärgiks.

Seda stsenaariumi arvestades on loogiline, et uus variant tugevdab loogika, mille abil otsustatakse, kuhu projektis kasulikke koormusi lisadaMida loomulikum teie asukoht tundub, seda väiksem on tõenäosus, et arendaja seda kiire skaneerimise käigus märkab.

Rünnaku ergonoomika: vead, etapid ja märgid

Microsoft oli XCSSET-i täiustustest juba selle aasta alguses teatanud. veahaldus ja püsivusOluline on see, et see sobitub nüüd samm-sammult nakatamisahelasse: AppleScript, mis käivitab kestakäsu, mis laadib alla veel ühe AppleScripti, mis omakorda kogub süsteemiinfot ja käivitab alammooduleid.

Kui otsite märke, siis selle olemasolu ~/.zshrc_aliases, manipulatsioonid failis ~/.zshrc, kahtlased kirjed failis LaunchDaemons või kummaline System Settings.app failis /tmp Need on näitajad, millele tähelepanu pöörata. Igasugune anomaalne tegevus Dockis (nt asendatud Launchpadi teed) peaks samuti alarme käivitama.

Hallatud keskkondades peaksid SOC-id kalibreerima reegleid, mis järgivad Ebatavaline osascript, korduvad dockutili kõned ja Base64-kodeeringuga või krüptitud esemed lingitud Xcode'i ehitusprotsessidega ja kasutavad tööriistu kuva macOS-is töötavaid protsesseKompileerimise kontekst on valepositiivsete tulemuste vähendamisel võtmetähtsusega.

Kellele on XCSSET suunatud?

Loomulikult on fookuses need, kes arendavad või kompileerivad Xcode'iga, kuid mõju võib ulatuda ka kasutajateni, kes installige sisseehitatud rakendusi saastunud projektidest. Finantsosa ilmub jaotises lõikelaua kaaperdamine, eriti oluline neile, kes krüptovaluutadega regulaarselt tegelevad.

Andmevaldkonnas väljafiltreerimine Firefoxist ja teistest rakendustest seab ohtu volikirjad, seansiküpsised ja isiklikud märkmed. Lisage sellele ka pärandfunktsioonid ekraanipildid, failide krüptimine ja lunaraha märkmed, pilt on enam kui täielik.

Seni avastatud rünnakud näivad olevat piiratud ulatusega, aga nagu tihtipeale, võib kampaania tegeliku ulatuse selgumine aega võtta. Modulaarsus hõlbustab kiireid iteratsioone, nimemuutusi ja peenhäälestamine tuvastamise vältimiseks.

Praktilised soovitused riski vähendamiseks

Esiteks, uuenda distsipliini: Hoidke macOS ja rakendused ajakohasena ja kaaluda pahavaratõrje lahendusedXCSSET on juba ära kasutanud haavatavusi, sealhulgas nullpäeva haavatavusi, seega vähendab uusimale versioonile uuendamine märkimisväärselt rünnakupinda.

Teiseks kontrollige Xcode'i projekte mida te repositooriumidest alla laadite või kloonite, ja olge kompileeritava suhtes äärmiselt ettevaatlik. Vaadake üle ehitusskriptid, Skripti käivitamise etapid, sõltuvused ja kõik failid, mis ehitusprotsessis käivitatakse.

Kolmandaks, olge lõikelauaga ettevaatlik. Vältige kontrollimata rahakoti aadresside kopeerimist/kleepimistEnne tehingute kinnitamist kontrollige üle esimene ja viimane märk. See on väike žest, mis võib teile palju vaeva säästa.

Neljandaks, telemeetria ja jahipidamine. Jälgib osascripti, dockutili, muudatusi failis ~/.zshrc ja LaunchDaemonsiKui haldate masinaparke, lisage EDR-reeglid, mis tuvastavad ehitusprotsessides ebatavalisi kompileeritud AppleScripte või korduvaid kodeeritud üleslaadimisi.