- Uusi XCSSET-muunnos, jossa on edistynyt hämärrys ja useita pysyvyysominaisuuksia (zshrc, Dock ja LaunchDaemon).
- Laajentaa tietovarkauksia Firefoxiin ja lisää clipperin kryptovaluuttojen transaktioiden ohjaamiseksi pois leikepöydälle.
- Jaettujen Xcode-projektien tartunta: vain suoritettavia AppleScript-komentosarjakoodeja, uudelleennimettyjä moduuleja ja C2-vuotoa.
- Suositukset: Päivitä macOS, auditoi projektit ennen niiden kääntämistä ja valvo osascript/dockutil-komentosarjaa.
Perhe haittaohjelmat XCSSET macOS:lle on palannut parannellulla versiolla, eikä se ole mikään pieni saavutus: Microsoft Threat Intelligence on havainnut merkittäviä muutoksia hämärtämis-, pysyvyys- ja tietovarkaustekniikoissa. jotka nostavat riman uudelle tasolle tämän vanhan tuttavuuden suhteen. Jos työskentelet Xcoden kanssa tai jaat projekteja tiimien kesken, haluat varmasti pysyä ajan tasalla tapahtumista.
XCSSET on sopeutunut Applen ekosysteemin muutoksiin sen löytämisestä vuonna 2020 lähtien. Nyt havaitaan ensimmäinen julkisesti dokumentoitu uusi variantti sitten vuoden 2022., havaittu rajoitetuissa hyökkäyksissä, mutta laajennetuilla ominaisuuksilla. Tämä on modulaarinen haittaohjelma, joka hiipii Xcode-projekteihin suorittaakseen hyötykuormansa niiden käännettäessä, ja tässä iteraatiossa se sisältää ovelampia taktiikoita naamioidakseen itsensä ja pysyäkseen siellä.
Mikä on XCSSET ja miksi se leviää niin hyvin?
Pohjimmiltaan XCSSET on joukko haitallisia moduuleja, jotka on suunniteltu tartuttaa Xcode-projekteja ja aktivoi niiden funktiot koontivaiheessaTodennäköisin leviämisvektori on projektitiedostojen jakaminen yhteistyössä toimivien kehittäjien kesken. sovellukset macOS:lle, mikä moninkertaistaa suoritusmahdollisuudet jokaisessa koontiversiossa.
Tämä haittaohjelma on historiallisesti pystynyt hyödyntämään nollapäivähaavoittuvuuksia, syöttää koodia projekteihin ja jopa tuoda takaportteja Applen ekosysteemin komponentteihin, kuten SafariinKehityksensä aikana se on myös lisännyt yhteensopivuutta uudempien macOS- ja Apple Silicon (M1) -arkkitehtuurien kanssa, mikä osoittaa huomattavaa sopeutumiskykyä.
Maan päällä XCSSET toimii seuraavasti: tiedon varas ja kryptovaluutta: pystyy keräämään tietoja suosituista ohjelmista (Evernote, Notes, Skype, Telegram, QQ, WeChat ja paljon muuta), soluttautuvat järjestelmä- ja sovellustiedostoihin ja kohdistavat ne erityisesti digitaalisiin lompakoihin. Lisäksi jotkin variantit ovat osoittaneet Luvattomat kuvakaappaukset, tiedostojen salaus ja lunnasvaatimusten käyttöönotto.
Mitä uutta uusimmassa versiossa on
Microsoft on kertonut, että uusin versio sisältää Uudet hämärtämis-, pysyvyys- ja tartuntastrategiatEmme enää puhu vain nimien vaihtamisesta tai koodin pakkaamisesta: nyt on enemmän satunnaisuutta tavassa, jolla se luo hyötykuormiaan Xcode-projektien saastuttamiseksi.
Silmiinpistävä muutos on koodaustekniikoiden yhdistetty käyttö. Kun aiemmat iteraatiot perustuivat yksinomaan xxd:hen (hexdump), Uusi versio lisää Base64:n ja käyttää satunnaista määrää iteraatioitamikä vaikeuttaa lastin tunnistamista ja purkamista.
Moduulien sisäiset nimet ovat myös piilossa enemmän kuin koskaan: Ne on hämärretty kooditasolla niiden tarkoituksen piilottamiseksi.Tämä monimutkaistaa staattista analyysia ja funktioiden ja järjestelmässä havaittavien vaikutusten välistä korrelaatiota.
Pysyvyys: “zshrc”- ja “telakointi”-metodit
Yksi XCSSET:n paluun tunnusmerkeistä on kaksi hyvin erilaista polkua pysyä hengissä tartunnan jälkeen. ”Zshrc”-metodi hyödyntää komentotulkin kokoonpanoa suorittaakseen sen automaattisesti jokaisessa istunnossa., ja ”dock”-metodi manipuloi järjestelmän pikakuvakkeita suorittaakseen haitallisen hyötykuorman läpinäkyvästi käyttäjälle.
”Zshrc”-lähestymistavassa haittaohjelma luo tiedoston nimeltä ~/.zshrc_aliases hyötykuorman kanssa ja lisää sitten komennon tiedostoon ~/.zshrc, joka varmistaa, että tiedosto ladataan aina, kun uusi istunto avataan. Tämä varmistaa säilyvyyden kaikissa päätteissä herättämättä ilmeisiä epäilyksiä.
”Telakointi”-suunnitelmaan kuuluu allekirjoitetun työkalun lataaminen komento- ja ohjauspalvelimelta, dockutil, Dock-elementtien hallintaanSitten se luo väärennetyn Launchpad-sovelluksen ja korvaa Dockissa olevan polun oikeaan Launchpadiin tällä väärennetyllä sovelluksella. Tulos: joka kerta, kun käyttäjä käynnistää Launchpadin Dockista, oikea avautuu ja samanaikaisesti haitallinen hyötykuorma aktivoituu.
Vahvistuksena variantti esittelee Uudet kriteerit hyötykuorman lisäämisen paikan määrittämiseksi Xcode-projektissaTämä optimoi vaikutuksen ja minimoi mahdollisuuden, että kehittäjä huomaa jotain epätavallista projektipuuta tarkastellessaan.
AppleScript, salainen suorittaminen ja tartuntaketju
Microsoftin tutkimus kuvaa, että XCSSET käyttää AppleScripts-koodit käännetään vain suoritettavaksi -tilassa toimia hiljaa ja estää suoraa analyysia paljastamasta sisältöään. Tämä tekniikka sopii yhteen sen tavoitteen kanssa, joka on näkymätön ja välttää skriptien tarkastustyökaluja.
Infektioketjun neljännessä vaiheessa havaitaan, että AppleScript-sovellus suorittaa komentotulkkikomennon viimeisen vaiheen lataamiseksiTämä viimeinen AppleScript kerää tietoja vaarantuneesta järjestelmästä ja käynnistää alimoduulit kutsumalla boot()-funktiota, joka ohjaa ominaisuuksien modulaarista käyttöönottoa.
Myös loogisia muutoksia on havaittu: Firefox-selaimen lisätarkistukset ja erilainen menetelmä Telegram-viestisovelluksen läsnäolon vahvistamiseksi. Nämä eivät ole pieniä yksityiskohtia; ne osoittavat selkeän aikomuksen tehdä tiedonkeruusta luotettavampaa ja laajentaa sen laajuutta.
Uudelleen nimetyt moduulit ja uudet osat
Jokaisen tarkistuksen myötä XCSSET-perhe muutti moduuliensa nimiä hieman, klassinen kissa ja hiiri -leikki... vaikeuttaa versioiden ja allekirjoitusten seurantaaSilti sen toiminnallisuus pysyy yleisesti ottaen samana.
Tämän variantin korostettujen moduulien joukossa on tunnisteita, kuten vexyeqj (entinen seizecj), joka lataa toinen moduuli nimeltä bnk ja suorittaa sen osascriptin avulla. Tämä käsikirjoitus lisää datan validoinnin, salauksen, salauksen purkamisen, lisäsisällön hakemisen C2:sta ja tapahtumien kirjaamisen ominaisuudet sekä sisältää "clipper"-komponentin.
Se mainitaan myös neq_cdyd_ilvcmwx, samanlainen kuin txzx_vostfdi, joka vastaa tiedostojen ulossuodatus komento- ja ohjauspalvelimellemoduuli xmyyeqjx joka valmistelee LaunchDaemon-pohjainen pysyvyys; jee (entinen jez), joka konfiguroi a:n pysyvyys Gitin kautta; ja iewmilh_cdyd, joka on vastuussa tietojen varastamisesta Firefoxista käyttämällä julkisen HackBrowserData-työkalun muokattua versiota.
- vexyeqj: tietomoduuli; lataa ja käytä BNK, yhdistää Clipperin ja salauksen.
- neq_cdyd_ilvcmwxTiedostojen vuotaminen C2-hakemistoon.
- xmyyeqjx: pysyvyys LaunchDaemonin toimesta.
- jeepysyvyys Gitin kautta.
- iewmilh_cdydFirefox-tietojen varastaminen muokatulla HackBrowserData-komennolla.
Firefoxiin keskittyminen on erityisen tärkeää, koska laajentaa tavoittavuutta Chromiumin ja Safarin ulkopuolelleTämä tarkoittaa, että potentiaalisten uhrien joukko kasvaa ja tunnistetietojen ja evästeiden poimintatekniikoita kehitetään useille selainmoottoreille.
Kryptovaluutan varastaminen leikepöydän kaappauksen avulla
Yksi tämän kehityksen suurimmista huolenaiheista on "clipper"-moduuli. Tarkkailee leikepöydän säännöllisiä lausekkeita, jotka vastaavat kryptovaluuttojen osoitteita (eri lompakkoformaatteja). Heti kun se havaitsee osuman, se korvaa osoitteen välittömästi hyökkääjän hallitsemalla osoitteella.
Tämä hyökkäys ei vaadi laajennettuja käyttöoikeuksia aiheuttaakseen tuhoa: Uhri kopioi osoitteensa lompakostaan, liittää sen lähettääkseen rahaa ja siirtää sen tietämättään hyökkääjälle.Kuten Microsoftin tiimi huomautti, tämä heikentää luottamusta niin perustavanlaatuiseen asiaan kuin kopioimiseen ja liittämiseen.
Clipperin ja selaintietojen varastamisen yhdistelmä tekee XCSSET:stä... Käytännön uhka kyberrikollisille, jotka keskittyvät kryptovaroihinHe voivat hankkia istuntoevästeitä, tallennettuja salasanoja ja jopa ohjata tapahtumia koskematta uhrin näkyvään saldoon, ennen kuin on liian myöhäistä.
Muita sinnikkyyden ja naamioinnin taktiikoita
Microsoft kuvailee, että tämä variantti lisää ”zshrc:n” ja ”dockin” lisäksi LaunchDaemon-merkinnät, jotka suorittavat hyötykuorman ~/.root-hakemistossaTämä mekanismi varmistaa nopean ja vakaan käynnistyksen ja naamioituu taustalla latautuvien järjestelmäpalveluiden sekamelskaan.
Myös a:n luomista on havaittu Huijaustiedosto järjestelmäasetuksista.app tiedostossa /tmp, jonka avulla haittaohjelma voi naamioida toimintansa laillisen järjestelmäsovelluksen varjolla. Tällainen henkilöllisyyden anastus auttaa välttämään epäilyksiä prosesseja tai polkuja tarkastettaessa satunnaisen suorituksen aikana.
Samaan aikaan XCSSET:n hämärrystyö on jälleen valokeilassa: Kehittyneempi salaus, satunnaiset moduulinimet ja vain suoritettavaksi tarkoitetut AppleScript-kooditKaikki viittaa kampanjan elinkaaren pidentämiseen ennen kuin se neutraloidaan allekirjoituksilla ja tunnistussäännöillä.
Historialliset ominaisuudet: selaimen ulkopuolella
Jälkikäteen ajateltuna XCSSET ei ole rajoittunut pelkästään selainten tyhjentämiseen. Sen kyky poimia tietoja sovelluksista, kuten Google Chrome, Opera, Telegram, Evernote, Skype, WeChat ja Applen omat sovellukset, kuten Yhteystiedot ja muistiinpanotEli useita lähteitä, jotka sisältävät viestinnän, tuottavuuden ja henkilökohtaiset tiedot.
Vuonna 2021 Jamfin kaltaiset raportit kuvailivat, kuinka XCSSET hyödynsi CVE-2021-30713, TCC-kehyksen ohitushyökkäys, juoda työpöydän kuvakaappauksia pyytämättä lupaa. Tämä taito sopii selkeään tavoitteeseen: vakoile ja kerää arkaluontoista materiaalia minimoimalla käyttäjälle kitkan.
Ajan myötä haittaohjelmaa on muokattu macOS Monterey -yhteensopivuus ja M1-sirujen kanssa, mikä korostaa sen jatkuvuus ja hyökkääjien ylläpitämäTähän päivään asti operaation tarkka alkuperä on epäselvä.
Miten se hiipii Xcode-projekteihin
XCSSET:n jakauma ei ole millimetrin tarkkuudella kuvattu, mutta kaikki viittaa siihen Hyödynnä Xcode-projektien jakamista kehittäjien välilläJos tietovarasto tai paketti on jo vaarantunut, kaikki myöhemmät koontiversiot aktivoivat haitallisen koodin.
Tämä malli muuttaa kehitystiimit etuoikeutetut etenemisvektorit, erityisesti ympäristöissä, joissa riippuvuuksien tarkistuskäytännöt, koontikomentosarjoja tai jaettuja malleja on löyhästi. Se on muistutus siitä, että ohjelmistojen toimitusketju on tullut toistuvaksi kohteena.
Tässä tilanteessa on järkevää, että uusi variantti vahvistaa logiikka sen päättämiseksi, mihin hyötykuormat lisätään projektissaMitä "luonnollisemmalta" sijaintisi näyttää, sitä epätodennäköisemmin kehittäjä huomaa sen pikaisessa skannauksessa.
Hyökkäysergonomia: virheet, vaiheet ja merkit
Microsoft oli jo ilmoittanut XCSSET-parannuksista aiemmin tänä vuonna. virheiden hallinta ja pysyvyysTärkeää on, että se sopii nyt vaiheittaiseen tartuntaketjuun: AppleScript, joka käynnistää komentotulkkikomennon, joka lataa toisen viimeisen AppleScriptin, joka puolestaan kerää järjestelmätietoja ja käynnistää alimoduuleja.
Jos etsit merkkejä, niin niiden läsnäolo ~/.zshrc_aliases, manipulaatiot tiedostossa ~/.zshrc, epäilyttävät merkinnät LaunchDaemonsissa tai outo System Settings.app tiedostossa /tmp Näitä merkkejä kannattaa seurata. Myös Dockissa tapahtuvan poikkeavan toiminnan (esim. korvattujen Launchpad-polkujen) pitäisi laukaista hälytykset.
Hallittujen ympäristöjen SOC-keskusten tulisi kalibroida sääntöjä, jotka pyrkivät Epätavallinen osascript, toistuvat dockutil-kutsut ja Base64-koodatut tai salatut esineet linkitetty Xcoden rakennusprosesseihin ja käyttää työkaluja tarkastella käynnissä olevia prosesseja macOS:ssäKäännöksen konteksti on avainasemassa väärien positiivisten tulosten vähentämisessä.
Keitä XCSSET kohdistaa?
Luonnollinen painopiste on niillä, jotka kehittävät tai kääntävät Xcodella, mutta vaikutus voi ulottua käyttäjiin, jotka asenna sisäänrakennettuja sovelluksia saastuneista hankkeista. Taloudellinen osio näkyy leikepöydän kaappaaminen, erityisesti niille, jotka käsittelevät kryptovaluuttoja säännöllisesti.
Datan alalla vuoto Firefoxista ja muista sovelluksista vaarantaa tunnistetiedot, istuntokohtaiset evästeet ja henkilökohtaiset muistiinpanot. Lisää tähän vielä vanhat ominaisuudet kuvakaappaukset, tiedostojen salaus ja lunnasvaatimukset, kuva on enemmän kuin valmis.
Tähän mennessä havaitut hyökkäykset näyttävät rajoitettu soveltamisala, mutta kuten usein käy, kampanjan todellisen mittakaavan selviäminen voi viedä aikaa. Modulaarisuus helpottaa nopeita iteraatioita, nimenmuutoksia ja hienosäätöä havaitsemisen välttämiseksi.
Käytännön vinkkejä riskien vähentämiseksi
Ensin päivitä kurinalaisuus: Pidä macOS ja sovellukset ajan tasalla ja harkita haittaohjelmien torjuntaratkaisutXCSSET on jo hyödyntänyt haavoittuvuuksia, mukaan lukien nollapäivähaavoittuvuuksia, joten päivittäminen uusimpaan versioon pienentää hyökkäyspinta-alaa merkittävästi.
Toiseksi, tarkasta Xcode-projektit että lataat tai kloonaat repositorioista, ja ole erittäin varovainen kääntämäsi sisällön suhteen. Tarkista käännösskriptit, Suorita skriptin vaiheet, riippuvuudet ja kaikki tiedostot, jotka suoritetaan koontiprosessissa.
Kolmanneksi, ole varovainen leikepöydän kanssa. Vältä vahvistamattomien lompakko-osoitteiden kopioimista/liittämistäTarkista ensimmäinen ja viimeinen merkki kahdesti ennen maksutapahtumien vahvistamista. Se on pieni ele, joka voi säästää sinulta paljon vaivaa.
Neljänneksi, telemetria ja metsästys. Valvoo osascriptiä, dockutilia, muutoksia tiedostoon ~/.zshrc ja LaunchDaemonsiaJos hallinnoit laitekantoja, sisällytä EDR-säännöt, jotka havaitsevat epätavallisia käännettyjä AppleScript-komentoja tai toistuvia koodattuja latauksia koontiprosesseissa.
Intohimoinen kirjoittaja tavujen maailmasta ja tekniikasta yleensä. Rakastan jakaa tietämykseni kirjoittamalla, ja sen aion tehdä tässä blogissa, näyttää sinulle kaikki mielenkiintoisimmat asiat vempaimista, ohjelmistoista, laitteistoista, teknologisista trendeistä ja muusta. Tavoitteeni on auttaa sinua navigoimaan digitaalisessa maailmassa yksinkertaisella ja viihdyttävällä tavalla.