- Nuova variante di XCSSET con offuscamento avanzato e persistenza multipla (zshrc, Dock e LaunchDaemon).
- Estende il furto di dati a Firefox e aggiunge Clipper per deviare le transazioni crittografiche dal appunti.
- Infezione di progetti Xcode condivisi: AppleScript eseguibili solo tramite esecuzione, moduli rinominati ed esfiltrazione C2.
- Raccomandazioni: aggiornare macOS, verificare i progetti prima di compilarli e monitorare osascript/dockutil.
La famiglia di il malware XCSSET per macOS è tornato con una variante migliorata, e non è un'impresa da poco: Microsoft Threat Intelligence ha individuato cambiamenti significativi nelle tecniche di offuscamento, persistenza e furto di dati. che alzano l'asticella di questa vecchia conoscenza. Se lavori con Xcode o condividi progetti tra team, vorrai rimanere sempre aggiornato su cosa succede.
Fin dalla sua scoperta nel 2020, XCSSET si è adattato ai cambiamenti nell'ecosistema Apple. Quella che viene osservata ora è la prima nuova variante documentata pubblicamente dal 2022., rilevato in attacchi limitati ma con capacità estese. Si tratta di un malware modulare che si insinua nei progetti Xcode per eseguire il suo payload quando vengono compilati e, in questa iterazione, incorpora tattiche più astute per mimetizzarsi e persistere.
Che cos'è XCSSET e perché si diffonde così bene?
In sostanza, XCSSET è un insieme di moduli dannosi progettati per infettare i progetti Xcode e attivare le loro funzioni durante la compilazioneIl vettore di propagazione più plausibile è la condivisione dei file di progetto tra sviluppatori collaboratori. applicazioni per macOS, che moltiplica le opportunità di esecuzione in ogni build.
Questo malware è stato storicamente in grado di sfruttare le vulnerabilità zero-day, iniettare codice nei progetti e persino introdurre backdoor nei componenti dell'ecosistema Apple come SafariNel corso della sua evoluzione, ha anche aggiunto la compatibilità con le versioni più recenti delle architetture macOS e Apple Silicon (M1), dimostrando una notevole adattabilità.
A terra, XCSSET funziona come ladro di informazioni e criptovalute: è in grado di raccogliere dati da programmi popolari (Evernote, Notes, Skype, Telegram, QQ, wechat e altro ancora), esfiltrano file di sistema e di applicazioni e prendono di mira specificamente i portafogli digitali. Inoltre, alcune varianti hanno dimostrato Screenshot non autorizzati, crittografia dei file e distribuzione di richieste di riscatto.
Novità nell'ultima variante
Microsoft ha spiegato in dettaglio che l'ultima variante incorpora Nuovi metodi di offuscamento, persistenza e strategie di infezioneNon stiamo più parlando solo di scambio di nomi o di compressione del codice: ora c'è più casualità nel modo in cui genera i suoi payload per contaminare i progetti Xcode.
Un cambiamento sorprendente è l'uso combinato di tecniche di codifica. Mentre le iterazioni precedenti si basavano esclusivamente su xxd (hexdump), La nuova versione aggiunge Base64 e applica un numero casuale di iterazioni, rendendo più difficile identificare e disfare il carico.
Anche i nomi interni dei moduli sono più nascosti che mai: Sono offuscati a livello di codice per nascondere il loro scopoCiò complica l'analisi statica e la correlazione tra funzioni ed effetti osservabili nel sistema.
Persistenza: metodi “zshrc” e “dock”
Uno dei tratti distintivi di questo ritorno di XCSSET sono due percorsi molto diversi per sopravvivere dopo l'infezione. Il metodo "zshrc" sfrutta la configurazione della shell per l'esecuzione automatica in ogni sessionee il metodo "dock" manipola le scorciatoie di sistema per eseguire il payload dannoso in modo trasparente all'utente.
Nell'approccio "zshrc", il malware crea un file chiamato ~/.zshrc_aliases con il payload e poi aggiunge un comando a ~/.zshrc che assicura che il file venga caricato ogni volta che viene aperta una nuova sessione. Questo assicura la persistenza su tutti i terminali senza destare sospetti evidenti.
Il piano “dock” prevede il download di uno strumento firmato dal server di comando e controllo, dockutil, per gestire gli elementi DockCrea quindi un'app Launchpad falsa e sostituisce il percorso al Launchpad legittimo nel Dock con quell'app falsa. Risultato: ogni volta che l'utente avvia Launchpad dal Dock, si apre quello vero e, parallelamente, il payload dannoso è attivato.
Come rinforzo, la variante introduce Nuovi criteri per decidere dove inserire il payload nel progetto XcodeIn questo modo si ottimizza l'impatto e si riducono al minimo le possibilità che lo sviluppatore noti qualcosa di insolito durante la revisione dell'albero del progetto.
AppleScript, esecuzione stealth e catena di infezione
La ricerca Microsoft descrive che XCSSET utilizza AppleScript compilati in modalità di sola esecuzione per funzionare silenziosamente e impedire che l'analisi diretta ne riveli il contenuto. Questa tecnica è in linea con l'obiettivo di invisibilità e di elusione degli strumenti di ispezione degli script.
Nella quarta fase della catena di infezione si osserva che Un'applicazione AppleScript esegue un comando shell per scaricare la fase finaleQuesto AppleScript finale raccoglie informazioni dal sistema compromesso e avvia i sottomoduli richiamando la funzione boot(), che orchestra l'implementazione modulare delle funzionalità.
Sono state rilevate anche modifiche logiche: Controlli aggiuntivi per il browser Firefox e un metodo diverso per confermare la presenza dell'app di messaggistica Telegram. Non si tratta di dettagli di poco conto; indicano la chiara intenzione di rendere la raccolta dati più affidabile e di ampliarne la portata.
Moduli rinominati e nuove parti
Con ogni revisione, la famiglia XCSSET ha leggermente modificato i nomi dei suoi moduli, un classico gioco del gatto e del topo rendere difficile tracciare versioni e firmeCiononostante, la sua funzionalità rimane generalmente costante.
Tra i moduli evidenziati di questa variante compaiono identificatori come vexyeqj (precedentemente seizecj), che scarica un altro modulo chiamato bnk e lo esegue utilizzando osascript. Questo copione aggiunge la convalida dei dati, la crittografia, la decrittografia, il recupero di contenuti aggiuntivi da C2 e funzionalità di registrazione degli eventi, e include il componente "clipper".
Viene anche menzionato neq_cdyd_ilvcmwx, simile a txzx_vostfdi, che è responsabile di esfiltrare i file sul server di comando e controllo; il modulo xmyyeqjx che prepara il Persistenza basata su LaunchDaemon; Jey (precedentemente jez) che configura un persistenza tramite Git, E iewmilh_cdyd, responsabile del furto di dati da Firefox utilizzando una versione modificata dello strumento pubblico HackBrowserData.
- vexyeqj: modulo informativo; scarica e usa BNK, integra clipper e crittografia.
- neq_cdyd_ilvcmwx: esfiltrazione dei file in C2.
- xmyyeqjx: persistenza di LaunchDaemon.
- Jey: persistenza tramite Git.
- iewmilh_cdyd: Furto di dati di Firefox con HackBrowserData modificato.
L'attenzione su Firefox è particolarmente rilevante, perché estende la portata oltre Chromium e SafariCiò significa che la gamma di potenziali vittime sta aumentando e che le tecniche di estrazione di credenziali e cookie vengono perfezionate per più motori di ricerca.
Furto di criptovaluta tramite dirottamento degli appunti
Una delle capacità di maggiore interesse in questa evoluzione è il modulo “clipper”. Controlla gli appunti per le espressioni regolari che corrispondono agli indirizzi di criptovaluta (vari formati di portafoglio). Non appena rileva una corrispondenza, sostituisce immediatamente l'indirizzo con uno controllato dall'attaccante.
Questo attacco non richiede privilegi elevati per provocare danni: La vittima copia il proprio indirizzo dal portafoglio, lo incolla per inviare fondi e, senza saperlo, lo trasferisce all'aggressoreCome ha sottolineato il team Microsoft, questo erode la fiducia in qualcosa di così elementare come il copia e incolla.
La combinazione di furto di dati di clipper e browser rende XCSSET un Una minaccia concreta per i criminali informatici concentrati sulle criptovalutePossono ottenere cookie di sessione, password salvate e persino reindirizzare le transazioni senza toccare il saldo visibile della vittima, finché non è troppo tardi.
Altre tattiche di persistenza e mimetizzazione
Oltre a “zshrc” e “dock”, Microsoft descrive che questa variante aggiunge Voci di LaunchDaemon che eseguono un payload in ~/.rootQuesto meccanismo garantisce un avvio rapido e stabile e si mimetizza nel groviglio dei servizi di sistema caricati in background.
È stata osservata anche la creazione di un Impostazioni di sistema falsificate.app in /tmp, che consente al malware di mascherare la propria attività sotto le mentite spoglie di un'applicazione di sistema legittima. Questo tipo di impersonificazione aiuta a evitare sospetti durante l'ispezione di processi o percorsi durante l'esecuzione casuale.
Parallelamente, il lavoro di offuscamento di XCSSET è tornato alla ribalta: Crittografia più sofisticata, nomi di moduli casuali e AppleScript eseguibili soloTutto fa pensare che si debba estendere la durata della campagna prima che venga neutralizzata dalle firme e dalle regole di rilevamento.
Capacità storiche: oltre il browser
Guardando indietro, XCSSET non si è limitato solo a svuotare i browser. La sua capacità di estrarre dati da app come Google Chrome, Opera, Telegramma, Evernote, Skype, WeChat e le applicazioni di Apple come Contatti e noteSi tratta di una gamma di fonti che comprende messaggistica, produttività e dati personali.
Nel 2021, report come quello di Jamf descrivevano come XCSSET sfruttasse CVE-2021-30713, un bypass del framework TCC, bere screenshot del desktop senza chiedere il permesso. Questa abilità si adatta a un obiettivo chiaro: spiare e raccogliere materiale sensibile con il minimo attrito per l'utente.
Nel corso del tempo, il malware è stato adattato a Compatibilità con macOS Monterey e con i chip M1, qualcosa che sottolinea il suo continuità e manutenzione da parte degli aggressoriAncora oggi, l'origine esatta dell'operazione rimane poco chiara.
Come si insinua nei progetti Xcode
La distribuzione di XCSSET non è dettagliata al millimetro, ma tutto indica che Sfrutta la condivisione dei progetti Xcode tra sviluppatoriSe un repository o un pacchetto è già compromesso, qualsiasi build successiva attiva il codice dannoso.
Questo modello trasforma i team di sviluppo in vettori di propagazione privilegiati, soprattutto in ambienti con pratiche di controllo delle dipendenze, script di compilazione o modelli condivisi poco efficaci. È un promemoria che catena di fornitura del software è diventato un bersaglio ricorrente.
Dato questo scenario, ha senso che la nuova variante rafforzi la logica per decidere dove inserire i payload all'interno del progettoPiù la tua posizione appare "naturale", minore è la probabilità che uno sviluppatore la individui in una rapida scansione.
Ergonomia dell'attacco: errori, fasi e segnali
Microsoft aveva già annunciato miglioramenti a XCSSET all'inizio di quest'anno. gestione degli errori e persistenzaLa cosa importante è che ora si inserisce in una catena di infezione passo dopo passo: un AppleScript che avvia un comando shell, che scarica un altro AppleScript finale, che a sua volta raccoglie informazioni di sistema e avvia sottomoduli.
Se stai cercando dei segnali, la presenza di ~/.zshrc_aliases, manipolazioni in ~/.zshrc, voci sospette in LaunchDaemons o una strana System Settings.app in /tmp Questi sono indicatori a cui prestare attenzione. Anche qualsiasi attività anomala nel Dock (ad esempio, percorsi Launchpad sostituiti) dovrebbe attivare degli allarmi.
Negli ambienti gestiti, i SOC dovrebbero calibrare le regole che perseguono Osascript insolito, chiamate ripetute a dockutil e artefatti codificati o crittografati in Base64 collegato ai processi di build di Xcode e utilizza strumenti per visualizzare i processi in esecuzione su macOSIl contesto della compilazione è fondamentale per ridurre i falsi positivi.
A chi si rivolge XCSSET?
L'attenzione naturale è rivolta a coloro che sviluppano o compilano con Xcode, ma l'impatto può estendersi agli utenti che installare app integrate da progetti contaminati. La parte finanziaria appare nel dirottamento degli appunti, particolarmente rilevante per coloro che maneggiano regolarmente criptovalute.
Nella sfera dei dati, il esfiltrazione da Firefox e altre app mette a rischio credenziali, cookie di sessione e note personali. A questo si aggiungono le funzionalità legacy di screenshot, crittografia dei file e richieste di riscatto, il quadro è più che completo.
Gli attacchi rilevati finora sembrano di portata limitata, ma come spesso accade, la vera portata della campagna potrebbe richiedere del tempo per emergere. La modularità facilita rapide iterazioni, cambi di nome e messa a punto per evitare il rilevamento.
Raccomandazioni pratiche per ridurre il rischio
Per prima cosa, aggiorna la disciplina: Mantieni macOS e le app aggiornati e considera soluzioni antimalwareXCSSET ha già sfruttato vulnerabilità, comprese quelle zero-day, quindi l'aggiornamento alla versione più recente riduce significativamente la superficie di attacco.
In secondo luogo, ispezionare i progetti Xcode che scarichi o cloni dai repository, e fai molta attenzione a ciò che compili. Rivedi gli script di compilazione, Fasi di esecuzione dello script, dipendenze e tutti i file eseguiti nel processo di compilazione.
Terzo, fate attenzione con gli appunti. Evita di copiare/incollare indirizzi di wallet non verificati: Controlla attentamente il primo e l'ultimo carattere prima di confermare le transazioni. È un piccolo gesto che può risparmiarti un sacco di problemi.
Quarto, telemetria e caccia. Monitora osascript, dockutil, modifiche a ~/.zshrc e LaunchDaemonsSe gestisci flotte, incorpora regole EDR che rilevano AppleScript compilati insoliti o caricamenti di codice ripetitivi nei processi di build.
Scrittore appassionato del mondo dei byte e della tecnologia in generale. Adoro condividere le mie conoscenze attraverso la scrittura, ed è quello che farò in questo blog, mostrarti tutte le cose più interessanti su gadget, software, hardware, tendenze tecnologiche e altro ancora. Il mio obiettivo è aiutarti a navigare nel mondo digitale in modo semplice e divertente.