- Nova varijanta XCSSET-a s naprednim zamagljivanjem i višestrukom perzistencijom (zshrc, Dock i LaunchDaemon).
- Proširuje krađu podataka na Firefox i dodaje clipper za preusmjeravanje kripto transakcija s međuspremnik.
- Infekcija dijeljenih Xcode projekata: AppleScripts koji se mogu samo pokrenuti, preimenovani moduli i izbacivanje C2.
- Preporuke: Ažurirajte macOS, provjerite projekte prije izgradnje i pratite osascript/dockutil.
Obitelj od malware XCSSET za macOS se vratio s poboljšanom varijantom, i to nije mali podvig: Microsoft Threat Intelligence je identificirao značajne promjene u tehnikama maskiranja, perzistencije i krađe podataka. što podiže ljestvicu ovom starom poznaniku. Ako radite s Xcodeom ili dijelite projekte između timova, htjet ćete biti u toku s onim što se događa.
Od svog otkrića 2020. godine, XCSSET se prilagođava promjenama u Appleovom ekosustavu. Ono što se sada opaža je prva javno dokumentirana nova varijanta od 2022. godine., otkriven u ograničenim napadima, ali s proširenim mogućnostima. Riječ je o modularnom zlonamjernom softveru koji se ušulja u Xcode projekte kako bi izvršio svoj teret kada se kompajliraju, a u ovoj iteraciji uključuje lukavije taktike za kamuflažu i opstanak.
Što je XCSSET i zašto se tako dobro širi?
U biti, XCSSET je skup zlonamjernih modula dizajniranih za zaraziti Xcode projekte i aktivirati njihove funkcije tijekom izgradnjeNajvjerojatniji vektor širenja je dijeljenje projektnih datoteka između suradničkih programera. aplikacije za macOS, što umnožava mogućnosti izvršavanja u svakoj verziji.
Ovaj zlonamjerni softver je povijesno bio u stanju iskoristiti zero-day ranjivosti, ubrizgavanje koda u projekte, pa čak i uvođenje stražnjih vrata u komponente Appleovog ekosustava poput SafarijaTijekom svoje evolucije, dodana je i kompatibilnost s novijim verzijama macOS i Apple Silicon (M1) arhitektura, pokazujući izvanrednu prilagodljivost.
Na terenu, XCSSET radi kao kradljivac informacija i cryptocurrency: može prikupljati podatke iz popularnih programa (Evernote, Notes, Skype, Telegram, QQ, WeChat i više), kradu sistemske i aplikacijske datoteke, a posebno ciljaju digitalne novčanike. Osim toga, neke varijante su pokazale Neovlaštene snimke zaslona, šifriranje datoteka i slanje poruka s zahtjevom za otkupninu.
Što je novo u najnovijoj varijanti
Microsoft je detaljno opisao da najnovija varijanta uključuje Nove metode obfuskacije, perzistencije i strategija infekcijeViše ne govorimo samo o zamjeni imena ili kompresiji koda: sada postoji više slučajnosti u načinu na koji generira svoje korisne sadržaje kako bi kontaminirao Xcode projekte.
Upečatljiva promjena je kombinirana upotreba tehnika kodiranja. Dok su se prethodne iteracije oslanjale isključivo na xxd (hexdump), Nova verzija dodaje Base64 i primjenjuje slučajni broj iteracija, što otežava identifikaciju i raspetljavanje tereta.
Interna imena modula su također skrivenija nego ikad: Zamaskirani su na razini koda kako bi sakrili svoju svrhu.To komplicira statičku analizu i korelaciju između funkcija i vidljivih učinaka u sustavu.
Perzistentnost: metode "zshrc" i "dock"
Jedna od karakteristika ovog povratka XCSSET-a su dva vrlo različita puta preživljavanja nakon infekcije. Metoda "zshrc" koristi konfiguraciju ljuske za automatsko pokretanje u svakoj sesiji., a metoda „dock“ manipulira sistemskim prečacima kako bi izvršavala zlonamjerni korisni sadržaj transparentno za korisnika.
U pristupu „zshrc“, zlonamjerni softver stvara datoteku pod nazivom ~/.zshrc_aliases s korisnim teretom a zatim dodaje naredbu u ~/.zshrc koja osigurava da se datoteka učitava svaki put kada se otvori nova sesija. To osigurava postojanost na svim terminalima bez izazivanja ikakvih očitih sumnji.
Plan "dock" uključuje preuzimanje potpisanog alata s komandnog i kontrolnog poslužitelja, dockutil, za upravljanje Dock elementimaZatim stvara lažnu Launchpad aplikaciju i zamjenjuje putanju do legitimne Launchpad aplikacije u Docku tom lažnom aplikacijom. Rezultat: svaki put kada korisnik pokrene Launchpad iz Docka, otvara se prava aplikacija i, paralelno s tim, aktiviran je zlonamjerni teret.
Kao pojačanje, varijanta uvodi Novi kriteriji za odlučivanje gdje u Xcode projektu umetnuti korisni teretTo optimizira utjecaj i minimizira šanse da programer uoči nešto neobično prilikom pregleda stabla projekta.
AppleScript, prikriveno izvršavanje i lanac infekcije
Microsoftovo istraživanje opisuje da XCSSET koristi AppleScripts kompajlirani u načinu rada samo za izvođenje da se izvršava tiho i spriječi izravnu analizu da otkrije njegov sadržaj. Ova tehnika odgovara njegovom cilju nevidljivosti i izbjegavanja alata za pregled skripti.
U četvrtoj fazi lanca infekcije, opaža se da AppleScript aplikacija pokreće naredbu ljuske za preuzimanje završne fazeOvaj konačni AppleScript prikuplja informacije iz kompromitiranog sustava i pokreće podmodule pozivanjem funkcije boot(), koja orkestrira modularno raspoređivanje mogućnosti.
Također su otkrivene logičke promjene: Dodatne provjere za preglednik Firefox i drugačija metoda za potvrdu prisutnosti aplikacije za razmjenu poruka Telegram. To nisu mali detalji; oni ukazuju na jasnu namjeru da se prikupljanje podataka učini pouzdanijim i proširi njegov opseg.
Preimenovani moduli i novi dijelovi
Sa svakom revizijom, obitelj XCSSET je neznatno mijenjala nazive svojih modula, klasičnu igru mačke i miša. otežavaju praćenje verzija i potpisaUnatoč tome, njegova funkcionalnost uglavnom ostaje dosljedna.
Među istaknutim modulima ove varijante pojavljuju se identifikatori kao što su vexyeqj (prije seizecj), koji preuzmite još jedan modul pod nazivom bnk i pokreće ga pomoću osascripta. Ovo rukopis dodaje validaciju podataka, šifriranje, dešifriranje, dohvaćanje dodatnog sadržaja iz C2 i mogućnosti zapisivanja događaja te uključuje komponentu „clipper“.
Također se spominje neq_cdyd_ilvcmwx, slično kao txzx_vostfdi, koji je odgovoran za prenijeti datoteke na poslužitelj za zapovijedanje i upravljanjemodul xmyyeqjx koji priprema Perzistentnost temeljena na LaunchDaemonu; hej (prije jez) koji konfigurira perzistencija putem Gita; i iewmilh_cdyd, odgovoran za krađu podataka iz Firefoxa pomoću modificirane verzije javnog alata HackBrowserData.
- vexyeqj: informacijski modul; preuzimanje i korištenje bnk, integrira clipper i enkripciju.
- neq_cdyd_ilvcmwx: izvlačenje datoteka u C2.
- xmyyeqjx: perzistencija od strane LaunchDaemona.
- hejperzistencija putem Gita.
- iewmilh_cdydKrađa podataka iz Firefoxa s modificiranim HackBrowserData.
Fokus na Firefox je posebno relevantan, jer proširuje doseg izvan Chromiuma i SafarijaTo znači da se raspon potencijalnih žrtava povećava, a tehnike ekstrakcije vjerodajnica i kolačića se usavršavaju za više preglednika.
Krađa kriptovaluta korištenjem otmice međuspremnika
Jedna od mogućnosti od najveće važnosti u ovoj evoluciji je modul „clipper“. Prati međuspremnik za regularne izraze koji odgovaraju adresama kriptovaluta (različiti formati novčanika). Čim otkrije podudaranje, odmah zamjenjuje adresu onom koju kontrolira napadač.
Ovaj napad ne zahtijeva povišene privilegije za izazivanje štete: Žrtva kopira svoju adresu iz novčanika, lijepi je kako bi poslala novac i nesvjesno je prenosi napadaču.Kao što je Microsoftov tim istaknuo, to narušava povjerenje u nešto tako osnovno kao što je kopiranje i lijepljenje.
Kombinacija clippera i krađe podataka preglednika čini XCSSET... Praktična prijetnja kibernetičkim kriminalcima usmjerena na kripto imovinuMogu dobiti kolačiće sesije, spremljene lozinke, pa čak i preusmjeriti transakcije bez dodirivanja vidljivog stanja žrtve dok ne bude prekasno.
Druge taktike upornosti i kamuflaže
Uz "zshrc" i "dock", Microsoft opisuje da ova varijanta dodaje Unosi LaunchDaemon-a koji izvršavaju korisni teret u ~/.rootOvaj mehanizam osigurava rano i stabilno pokretanje te se kamuflira među mnoštvom sistemskih usluga koje se učitavaju u pozadini.
Također je uočeno stvaranje Lažna aplikacija System Settings.app u /tmp, što omogućuje zlonamjernom softveru da prikrije svoju aktivnost pod krinkom legitimne sistemske aplikacije. Ova vrsta lažnog predstavljanja pomaže u izbjegavanju sumnje prilikom pregleda procesa ili putova tijekom nasumičnog izvršavanja.
Paralelno s tim, XCSSET-ov rad na obfuskaciji ponovno je u središtu pozornosti: Sofisticiranije šifriranje, nasumična imena modula i AppleScripts koji se mogu samo pokrenutiSve ukazuje na produljenje životnog vijeka kampanje prije nego što je neutraliziraju potpisi i pravila detekcije.
Povijesne mogućnosti: izvan preglednika
Gledajući unatrag, XCSSET nije bio ograničen samo na pražnjenje preglednika. Njegova sposobnost da izvlačenje podataka iz aplikacija poput Google Chrome, Opera, Telegram, Evernote, Skype, WeChat i Appleove vlastite aplikacije kao što su Kontakti i bilješkeTo jest, niz izvora koji uključuju razmjenu poruka, produktivnost i osobne podatke.
Izvješća poput Jamfovog iz 2021. opisivala su kako je XCSSET iskorištavao CVE-2021-30713, zaobilaženje TCC okvira, piti snimke zaslona radne površine bez traženja dopuštenja. Ova vještina odgovara jasnom cilju: špijunirati i prikupljati osjetljivi materijal uz minimalno trenje za korisnika.
Vremenom je zlonamjerni softver prilagođen Kompatibilnost s macOS-om Monterey a s M1 čipovima, nešto što naglašava njegovo kontinuitet i održavanje od strane napadačaDo danas, točno podrijetlo operacije ostaje nejasno.
Kako se ušulja u Xcode projekte
Raspodjela XCSSET-a nije detaljno opisana u milimetar, ali sve ukazuje na to Iskoristite dijeljenje Xcode projekata među programerimaAko je repozitorij ili paket već kompromitiran, svaka sljedeća izgradnja aktivira zlonamjerni kod.
Ovaj obrazac pretvara razvojne timove u privilegirani vektori propagacije, posebno u okruženjima s labavim praksama provjere ovisnosti, skriptama za izgradnju ili dijeljenim predlošcima. Podsjetnik je da lanac opskrbe softverom postao je ponovljena meta.
S obzirom na ovaj scenarij, logično je da nova varijanta pojačava logika za odlučivanje gdje umetnuti korisne terete unutar projektaŠto vaša lokacija izgleda „prirodnije“, to je manja vjerojatnost da će je programer uočiti brzim skeniranjem.
Ergonomija napada: pogreške, faze i znakovi
Microsoft je već ranije ove godine najavio poboljšanja XCSSET-a. upravljanje pogreškama i perzistentnostVažno je da se sada uklapa u postupni lanac infekcije: AppleScript koji pokreće naredbu ljuske, koja preuzima još jedan konačni AppleScript, koji pak prikuplja informacije o sustavu i pokreće podmodule.
Ako tražite znakove, prisutnost ~/.zshrc_aliases, manipulacije u ~/.zshrc, sumnjivi unosi u LaunchDaemons ili čudna datoteka System Settings.app u /tmp Ovo su pokazatelji na koje treba obratiti pozornost. Svaka anomalna aktivnost u Docku (npr. zamijenjene putanje Launchpada) također bi trebala pokrenuti alarme.
U upravljanim okruženjima, SOC-ovi bi trebali kalibrirati pravila koja slijede Neobičan osascript, ponovljeni pozivi dockutilu i artefakti kodirani ili šifrirani u Base64 povezano s procesima izgradnje Xcodea i korištenjem alata za pregled pokrenutih procesa na macOS-uKontekst kompilacije ključan je za smanjenje lažno pozitivnih rezultata.
Na koga cilja XCSSET?
Prirodni fokus je na onima koji razvijaju ili kompajliraju s Xcodeom, ali utjecaj se može proširiti i na korisnike koji instalirati ugrađene aplikacije iz kontaminiranih projekata. Financijski dio pojavljuje se u otmica međuspremnika, posebno relevantno za one koji redovito rukuju kriptovalutama.
U sferi podataka, krađa iz Firefoxa i drugih aplikacija dovodi u opasnost vjerodajnice, kolačiće sesije i osobne bilješke. Dodajte tome naslijeđene mogućnosti snimke zaslona, šifriranje datoteka i poruke s zahtjevom za otkupninu, slika je više nego potpuna.
Čini se da su do sada otkriveni napadi ograničenog opsega, ali kao što je često slučaj, pravi opseg kampanje može potrajati dok se ne pokaže. Modularnost omogućuje brze iteracije, promjene imena i fino podešavanje kako bi se izbjeglo otkrivanje.
Praktične preporuke za smanjenje rizika
Prvo, ažurirajte disciplinu: Redovito ažurirajte macOS i aplikacije i razmotriti rješenja protiv zlonamjernog softveraXCSSET je već iskoristio ranjivosti, uključujući i one zero-day, pa nadogradnja na najnoviju verziju značajno smanjuje površinu napada.
Drugo, pregledati Xcode projekte koje preuzimate ili klonirate iz repozitorija i budite izuzetno oprezni s onim što kompajlirate. Pregledajte skripte za izgradnju, Faze pokretanja skripte, ovisnosti i sve datoteke koje se izvršavaju tijekom procesa izgradnje.
Treće, budite oprezni s međuspremnikom. Izbjegavajte kopiranje/lijepljenje neprovjerenih adresa novčanikaDvaput provjerite prvi i zadnji znak prije potvrde transakcija. To je mala gesta koja vam može uštedjeti mnogo problema.
Četvrto, telemetrija i lov. Nadzire osascript, dockutil, promjene u ~/.zshrc i LaunchDaemonsAko upravljate voznim parkom, uključite EDR pravila koja otkrivaju neobične kompilirane AppleScriptove ili ponovljene prijenose koda u procesima izgradnje.
Strastveni pisac o svijetu bajtova i tehnologije općenito. Volim dijeliti svoje znanje pisanjem, a to je ono što ću učiniti na ovom blogu, pokazati vam sve najzanimljivije stvari o gadgetima, softveru, hardveru, tehnološkim trendovima i još mnogo toga. Moj cilj je pomoći vam da se snađete u digitalnom svijetu na jednostavan i zabavan način.