XCSSET macOS rendszeren: Hogyan működik az új változata és hogyan védheted meg magad

A család malware Az XCSSET macOS-hez egy továbbfejlesztett változattal tért vissza, és ez nem kis teljesítmény: A Microsoft Threat Intelligence jelentős változásokat azonosított a obfuszkálás, a behatolás és az adatlopás technikáiban. amik új szintre emelik ezt a régi ismeretséget. Ha Xcode-dal dolgozol, vagy projekteket osztasz meg csapatok között, akkor biztosan szeretnél naprakész lenni az eseményekkel kapcsolatban.

A 2020-as felfedezése óta az XCSSET folyamatosan alkalmazkodik az Apple ökoszisztémájában bekövetkezett változásokhoz. Amit most megfigyelhetünk, az az első nyilvánosan dokumentált új variáns 2022 óta., korlátozott támadásokban észlelhető, de kibővített képességekkel. Ez egy moduláris kártevő, amely bejut az Xcode projektekbe, hogy végrehajtsa a hasznos adatait, amikor azok lefordításra kerülnek, és ebben az iterációban ravaszabb taktikákat alkalmaz, hogy álcázza magát és fennmaradjon.

Mi az XCSSET és miért terjed olyan jól?

Lényegében az XCSSET egy kártékony modulokból álló készlet, melyek célja, hogy... megfertőzi az Xcode projekteket és aktiválja azok funkcióit a build soránA legvalószínűbb terjedési vektor a projektfájlok megosztása az együttműködő fejlesztők között. alkalmazások macOS esetén, ami megsokszorozza a végrehajtási lehetőségeket az egyes buildekben.

Ez a rosszindulatú program történelmileg képes volt kihasználni a nulladik napi sebezhetőségeket, kódot kell befecskendezni a projektekbe, sőt hátsó ajtókat is be lehet vezetni az Apple ökoszisztéma olyan összetevőibe, mint a SafariFejlődése során kompatibilissé vált a macOS és az Apple Silicon (M1) architektúrák újabb verzióival, ami figyelemre méltó alkalmazkodóképességet mutatott.

A földön az XCSSET a következőképpen működik: információlopó és cryptocurrency: képes adatokat gyűjteni népszerű programokból (Evernote, Notes, Skype, Telegram, QQ, WeChat és egyebek), kiszivárogtatják a rendszer- és alkalmazásfájlokat, és kifejezetten a digitális pénztárcákat veszik célba. Ezenkívül egyes változatok kimutatták, hogy Jogosulatlan képernyőképek, fájltitkosítás és váltságdíjkövető üzenetek telepítése.

Újdonságok a legújabb változatban

A Microsoft részletesen elmondta, hogy a legújabb változat tartalmazza a következőket: Új módszerek az obfuszkálásra, a perzisztenciára és a fertőzési stratégiákraMár nem csak névcseréről vagy kódtömörítésről beszélünk: mostantól nagyobb a véletlenszerűség abban, ahogyan a hasznos adatokat generálja az Xcode projektek szennyezésére.

Feltűnő változás a kódolási technikák kombinált használata. Míg a korábbi iterációk kizárólag az xxd-re (hexdump) támaszkodtak, Az új verzió Base64-et ad hozzá, és véletlenszerű számú iterációt alkalmaz., ami megnehezíti a rakomány azonosítását és kibontását.

A modulok belső nevei is rejtettebbek, mint valaha: Kódszinten homályosítják őket, hogy elrejtsék a céljukat.Ez bonyolítja a statikus elemzést és a függvények, valamint a rendszerben megfigyelhető hatások közötti összefüggést.

Perzisztencia: „zshrc” és „dock” metódusok

Az XCSSET visszatérésének egyik jellemzője, hogy két nagyon eltérő út vezet a fertőzés utáni életben maradáshoz. A „zshrc” metódus a shell konfigurációját használja ki az automatikus futtatáshoz minden munkamenetben., és a „dokk” metódus a rendszer parancsikonjait manipulálja, hogy a rosszindulatú hasznos adatot a felhasználó számára átláthatóan végrehajtsa.

A „zshrc” megközelítésben a kártevő létrehoz egy fájlt, melynek neve ~/.zshrc_aliases a hasznos adattal majd hozzáad egy parancsot a ~/.zshrc fájlhoz, amely biztosítja, hogy a fájl minden új munkamenet megnyitásakor betöltődjön. Ez biztosítja a fájl megőrzését az összes terminálon anélkül, hogy bármilyen nyilvánvaló gyanút keltene.

A „dokkolás” terv egy aláírt eszköz letöltését jelenti a parancs- és vezérlőkiszolgálóról, dockutil, a Dock elemek kezeléséhezEzután létrehoz egy hamis Launchpad alkalmazást, és a Dockban található legitim Launchpad elérési útját ezzel a hamis alkalmazással helyettesíti. Az eredmény: minden alkalommal, amikor a felhasználó elindítja a Launchpadot a Dockból, a valódi megnyílik, és ezzel párhuzamosan, a rosszindulatú hasznos adat aktiválódik.

Megerősítésként a változat bevezeti Új kritériumok annak eldöntésére, hogy az Xcode projektben hova kell beszúrni a hasznos adatotEz optimalizálja a hatást, és minimalizálja annak az esélyét, hogy a fejlesztő valami szokatlant észleljen a projektfa áttekintése során.

AppleScript, lopakodó végrehajtás és fertőzési lánc

A Microsoft kutatása szerint az XCSSET Csak futtatható módban fordított AppleScriptek hogy csendben fusson, és megakadályozza, hogy a közvetlen elemzés felfedje a tartalmát. Ez a technika illeszkedik a láthatatlanság és a szkripteket ellenőrző eszközök megkerülésének céljához.

A fertőzési lánc negyedik fázisában megfigyelhető, hogy Egy AppleScript alkalmazás egy shell parancsot futtat a végső szakasz letöltéséhezEz a végső AppleScript információkat gyűjt a feltört rendszerről, és a boot() függvény meghívásával indítja el az almodulokat, amelyek a képességek moduláris telepítését irányítják.

Logikai változásokat is észleltek: További ellenőrzések a Firefox böngészőhöz és egy másik módszer a Telegram üzenetküldő alkalmazás jelenlétének megerősítésére. Ezek nem apró részletek; egyértelmű szándékot jeleznek az adatgyűjtés megbízhatóbbá tételére és hatókörének bővítésére.

Átnevezett modulok és új alkatrészek

Az XCSSET család minden egyes módosítással kissé megváltoztatta a modulok nevét, ami egy klasszikus macska-egér játék. megnehezíti a verziók és aláírások nyomon követésétEnnek ellenére a funkcionalitása általában véve változatlan marad.

A változat kiemelt moduljai között olyan azonosítók szerepelnek, mint például vexyeqj (korábban seizecj), amely tölts le egy másik bnk nevű modult és osascript használatával futtatja. Ez forgatókönyv adatérvényesítést, titkosítást, visszafejtést, további tartalom lekérését a C2-ből és eseménynaplózási képességeket biztosít, valamint tartalmazza a „clipper” komponenst.

Azt is megemlítik neq_cdyd_ilvcmwx, hasonlóan a txzx_vostfdi-hez, amely felelős a következőkért: fájlok kiszivárogtatása a parancs- és vezérlőkiszolgálóra; a modul xmyyeqjx amely előkészíti a LaunchDaemon-alapú perzisztencia; jééé (korábban jez), amely egy perzisztencia Git-en keresztül, És bea_cdyd, amely a nyilvános HackBrowserData eszköz módosított verziójával lopott adatokat a Firefoxból.

• vexyeqjinformációs modul; letöltés és használat BNK, integrálja a clippert és a titkosítást.
• neq_cdyd_ilvcmwxFájlok kiszivárgása a C2 mappába.
• xmyyeqjx: a LaunchDaemon általi perzisztencia.
• jééé: kitartás Git-en keresztül.
• bea_cdydFirefox adatlopás módosított HackBrowserData segítségével.

A Firefoxra való összpontosítás különösen fontos, mert kiterjeszti a Chromium és a Safari túlmutató elérhetőségétEz azt jelenti, hogy a potenciális áldozatok köre növekszik, és a hitelesítő adatok és a sütik kinyerésének technikáit több böngészőmotorhoz is finomítják.

Kriptovaluta-lopás vágólap-eltérítéssel

Az evolúció egyik legnagyobb aggodalomra okot adó képessége a „clipper” modul. Figyelemmel kíséri a vágólapot a kriptovalutákkal megegyező reguláris kifejezések után kutatva (különböző pénztárca formátumok). Amint egyezést észlel, azonnal lecseréli a címet egy, a támadó által ellenőrzött címre.

Ez a támadás nem igényel emelt szintű jogosultságokat a pusztításhoz: Az áldozat kimásolja a címét a tárcájából, beilleszti azt pénz küldéséhez, és akaratlanul is átadja a támadónak.Ahogy a Microsoft csapata rámutatott, ez aláássa a bizalmat valami olyan alapvető dologban, mint a másolás és beillesztés.

A clipper és a böngészőadat-lopás kombinációja teszi az XCSSET-et... Gyakorlati fenyegetés a kriptovalutákra összpontosító kiberbűnözők számáraLe tudják szerezni a munkamenet-sütiket, a mentett jelszavakat, sőt, akár át is irányíthatják a tranzakciókat anélkül, hogy az áldozat látható egyenlegéhez hozzányúlnának, amíg túl késő nem lesz.

Egyéb kitartási és álcázási taktikák

A Microsoft leírása szerint ez a változat a „zshrc” és a „dock” mellett a következőket is hozzáadja: LaunchDaemon bejegyzések, amelyek hasznos adatot hajtanak végre a ~/.root fájlbanEz a mechanizmus biztosítja a korai és stabil indítást, és elrejti magát a háttérben betöltődő rendszerszolgáltatások kuszaságában.

A létrehozását is megfigyelték Hamisított rendszerbeállítások.app a /tmp fájlban, amely lehetővé teszi a rosszindulatú programok számára, hogy tevékenységüket egy legitim rendszeralkalmazás álcája mögé bújva álcázzák. Ez a fajta megszemélyesítés segít elkerülni a gyanút a folyamatok vagy elérési utak véletlenszerű végrehajtás közbeni vizsgálatakor.

Ezzel párhuzamosan az XCSSET ködösítési munkája ismét a figyelem középpontjába került: Kifinomultabb titkosítás, véletlenszerű modulnevek és csak futtatható AppleScriptekMinden arra utal, hogy meg kell hosszabbítani a kampány élettartamát, mielőtt azt aláírások és észlelési szabályok semlegesítenék.

Történelmi képességek: a böngészőn túl

Visszatekintve, az XCSSET nem csak a böngészők kiürítésére korlátozódott. A képessége, hogy adatok kinyerése alkalmazásokból, például Google Chrome, Opera, Telegram, Evernote, Skype, WeChat és az Apple saját alkalmazásai, mint például Kapcsolatok és jegyzetekVagyis a források széles skáláját foglalja magában, beleértve az üzenetküldést, a termelékenységet és a személyes adatokat.

2021-ben olyan jelentések, mint a Jamfé, leírták, hogyan használta ki az XCSSET a CVE-2021-30713, egy TCC keretrendszer megkerülő kód, inni asztali képernyőképek engedélykérés nélkül. Ez a készség egyértelmű célhoz illeszkedik: kémkedjen és gyűjtsön érzékeny anyagokat minimális súrlódással a felhasználó számára.

Idővel a rosszindulatú programot úgy módosították, hogy macOS Monterey kompatibilitás és az M1 chipekkel, ami kiemeli a a támadók általi folytonosság és fenntartásA művelet pontos eredete a mai napig tisztázatlan.

Hogyan oson be az Xcode projektekbe

Az XCSSET eloszlása ​​nem milliméterre részletes, de minden arra utal, hogy Használja ki az Xcode projektek fejlesztők közötti megosztásának előnyeitHa egy adattár vagy csomag már feltört, minden további build aktiválja a rosszindulatú kódot.

Ez a minta a fejlesztőcsapatokat a következővé teszi: privilegizált terjedési vektorok, különösen olyan környezetekben, ahol laza a függőség-ellenőrzési gyakorlat, a build szkriptek vagy a megosztott sablonok. Emlékeztetőül, hogy a szoftverellátási lánc visszatérő célkitűzéssé vált.

Ezt a forgatókönyvet figyelembe véve logikus, hogy az új változat megerősíti a hasznos adatok projekten belüli beszúrásának helyének eldöntésére szolgáló logikaMinél „természetesebbnek” tűnik a helyszín, annál kisebb valószínűséggel fogja egy fejlesztő egy gyors keresés során észrevenni.

Támadási ergonómia: hibák, szakaszok és jelek

A Microsoft már korábban bejelentette az XCSSET fejlesztéseit az év elején. hibakezelés és hibamegmaradásA lényeg az, hogy most már egy lépésről lépésre haladó fertőzési láncba illeszkedik: egy AppleScript, amely elindít egy shell parancsot, amely letölt egy másik, végső AppleScriptet, ami viszont... rendszerinformációkat gyűjt és almodulokat indít.

Ha jeleket keresel, a jelenléte ~/.zshrc_aliasok, manipulációk a ~/.zshrc fájlban, gyanús bejegyzések a LaunchDaemons fájlban, vagy egy furcsa System Settings.app fájl a /tmp fájlban Ezekre a jelekre kell figyelni. A Dockban tapasztalható bármilyen rendellenes tevékenységnek (pl. lecserélt Launchpad útvonalak) szintén riasztást kell kiváltania.

Felügyelt környezetekben a SOC-oknak olyan szabályokat kell kalibrálniuk, amelyek a következőket követik: Szokatlan osascript, ismételt dockutil hívások, valamint Base64 kódolású vagy titkosított műtermékek az Xcode építési folyamataihoz kapcsolódóan és eszközöket használva futó folyamatok megtekintése macOS rendszerenA fordítás kontextusa kulcsfontosságú a téves riasztások csökkentésében.

Kire céloz az XCSSET?

A természetes fókusz azokra irányul, akik Xcode-dal fejlesztenek vagy fordítanak, de a hatás kiterjedhet azokra a felhasználókra is, akik beépített alkalmazások telepítése szennyezett projektekből. A pénzügyi rész a vágólap-eltérítés, különösen azok számára releváns, akik rendszeresen kezelnek kriptovalutákat.

Az adatszférában a kiszűrés a Firefoxból és más alkalmazásokból veszélyezteti a hitelesítő adatokat, a munkamenet-sütiket és a személyes jegyzeteket. Ehhez jönnek még a korábbi funkciók is, képernyőképek, fájltitkosítás és váltságdíj-értesítések, a kép több mint teljes.

Az eddig észlelt támadások úgy tűnik, korlátozott hatókörű, de ahogy az gyakran lenni szokott, a kampány valódi mértékének feltárása időbe telhet. A modularitás lehetővé teszi a gyors iterációkat, névváltoztatásokat és finomhangolás az észlelés elkerülése érdekében.

Gyakorlati ajánlások a kockázatok csökkentésére

Először is, frissítse a fegyelem: Tartsa naprakészen a macOS-t és az alkalmazásokat és fontolja meg kártevőirtó megoldásokAz XCSSET már kihasználta a sebezhetőségeket, beleértve a nulladik napi sebezhetőségeket is, így a legújabb verzióra való frissítés jelentősen csökkenti a támadási felületet.

Másodszor, Xcode projektek ellenőrzése amit letöltesz vagy klónozol a tárolókból, és légy rendkívül óvatos azzal, amit lefordítasz. Tekintsd át a build szkripteket, Szkript futtatásának fázisai, függőségek és a build folyamat során végrehajtott fájlok.

Harmadszor, légy óvatos a vágólappal. Kerüld a nem ellenőrzött tárcacímek másolását/beillesztésétA tranzakciók jóváhagyása előtt ellenőrizze az első és az utolsó karaktert. Ez egy apró gesztus, ami sok kellemetlenségtől megkímélhet.

Negyedszer, telemetria és vadászat. Figyelemmel kíséri az osascriptet, a dockutil-t, a ~/.zshrc fájl változásait és a LaunchDaemons-t.Ha flottákat kezelsz, építs be EDR szabályokat, amelyek észlelik a szokatlan lefordított AppleScripteket vagy az ismétlődő kódolt feltöltéseket a build folyamatokban.