XCSSET ב-macOS: כיצד פועלת הגרסה החדשה שלה וכיצד להגן על עצמך

המשפחה של תוכנות זדוניות XCSSET עבור macOS חזר עם גרסה משופרת, וזה לא הישג של מה בכך: מודיעין האיומים של מיקרוסופט זיהה שינויים משמעותיים בטכניקות ערפול, שמירה על תקינות וגניבת נתונים. שמעלים את הרף עבור היכרות ותיקה זו. אם אתם עובדים עם Xcode או משתפים פרויקטים בין צוותים, תרצו להישאר מעודכנים במתרחש.

מאז גילויו בשנת 2020, XCSSET הסתגל לשינויים במערכת האקולוגית של אפל. מה שנצפה כעת הוא הגרסה החדשה הראשונה שתועדה בפומבי מאז 2022., שזוהתה במתקפות מוגבלות אך עם יכולות מורחבות. זוהי תוכנה זדונית מודולרית שמתגנבת לפרויקטים של Xcode כדי להריץ את המטען שלה כשהם עוברים קומפילציה, ובגרסה זו, היא משלבת טקטיקות ערמומיות יותר כדי להסוות את עצמה ולהתמיד.

מהו XCSSET ומדוע הוא מתפשט כל כך טוב?

בעיקרו של דבר, XCSSET הוא קבוצה של מודולים זדוניים שנועדו להדביק פרויקטים של Xcode ולהפעיל את הפונקציות שלהם במהלך הבנייהוקטור ההתפשטות הסביר ביותר הוא שיתוף קבצי פרויקט בין מפתחים משתפי פעולה. אפליקציות עבור macOS, מה שמכפיל את הזדמנויות הביצוע בכל בנייה.

נוזקה זו הצליחה מבחינה היסטורית לנצל פגיעויות של יום אפס, להזריק קוד לפרויקטים ואפילו להכניס דלתות אחוריות לרכיבים של המערכת האקולוגית של אפל כמו ספארילאורך התפתחותה, היא הוסיפה גם תאימות עם גרסאות חדשות יותר של macOS וארכיטקטורות Apple Silicon (M1), מה שמדגים יכולת הסתגלות יוצאת דופן.

בשטח, XCSSET פועל כ גנב של מידע ו -מסוגל לאסוף נתונים מתוכנות פופולריות (Evernote, Notes, Skype, Telegram, QQ, WeChat ועוד), לחלץ קבצי מערכת ואפליקציות, ולכוון ספציפית לארנקים דיגיטליים. בנוסף, הודגמו כמה גרסאות צילומי מסך לא מורשים, הצפנת קבצים ופריסת פתקי כופר.

מה חדש בגרסה האחרונה

מיקרוסופט פירטה כי הגרסה האחרונה משלבת שיטות חדשות של ערפול, התמדה ואסטרטגיות הדבקהאנחנו כבר לא מדברים רק על החלפת שמות או דחיסת קוד: עכשיו יש יותר אקראיות באופן שבו הוא מייצר את המטענים שלו כדי לזהם פרויקטים של Xcode.

שינוי בולט הוא השימוש המשולב בטכניקות קידוד. בעוד שגרסאות קודמות הסתמכו אך ורק על xxd (hexdump), הגרסה החדשה מוסיפה Base64 ומיישמת מספר אקראי של איטרציותמה שמקשה על זיהוי ופריקת המטען.

גם השמות הפנימיים של המודולים נסתרים יותר מאי פעם: הם מעורפלים ברמת הקוד כדי להסתיר את מטרתםזה מסבך את הניתוח הסטטי ואת המתאם בין פונקציות לאפקטים הניתנים לצפייה במערכת.

התמדה: שיטות "zshrc" ו-"dock"

אחד המאפיינים של חזרתה של XCSSET הם שתי דרכים שונות מאוד להישאר בחיים לאחר ההדבקה. שיטת "zshrc" ממנפת את תצורת המעטפת להפעלה אוטומטית בכל סשן, ושיטת ה-"dock" מתמרנת קיצורי דרך של המערכת כדי להפעיל את המטען הזדוני בצורה שקוף למשתמש.

בגישת "zshrc", התוכנה הזדונית יוצרת קובץ בשם ~/.zshrc_aliases עם המטען ולאחר מכן מוסיף פקודה ל-~/.zshrc שמבטיחה שהקובץ נטען בכל פעם שנפתחת סשן חדש. זה מבטיח עמידות בכל הטרמינלים מבלי לעורר חשדות ברורים.

תוכנית ה"עגינה" כוללת הורדת כלי חתום משרת הפיקוד והבקרה, dockutil, לניהול אלמנטים של Dockלאחר מכן היא יוצרת אפליקציית Launchpad מזויפת ומחליפה את הנתיב ל-Launchpad הלגיטימי ב-Dock באפליקציה המזויפת הזו. תוצאה: בכל פעם שהמשתמש מפעיל את Launchpad מה-Dock, האפליקציה האמיתית נפתחת, ובמקביל, המטען הזדוני מופעל.

כחיזוק, הגרסה מציגה קריטריונים חדשים להחלטה היכן בפרויקט Xcode להכניס את המטעןזה ממטב את ההשפעה וממזער את הסיכוי שהמפתח יזהה משהו חריג בעת סקירת עץ הפרויקט.

AppleScript, ביצוע חשאי ושרשרת הדבקה

מחקר של מיקרוסופט מתאר ש-XCSSET משתמש AppleScripts הורכבו במצב הפעלה בלבד לפעול בשקט ולמנוע מניתוח ישיר לחשוף את תוכנו. טכניקה זו תואמת את מטרתה של היעלמות והתחמקות מכלי בדיקת סקריפטים.

בשלב הרביעי של שרשרת ההדבקה, נצפה כי יישום AppleScript מפעיל פקודת מעטפת כדי להוריד את השלב הסופיסקריפט AppleScript סופי זה אוסף מידע מהמערכת הפגועה ומפעיל תת-מודולים על ידי הפעלת הפונקציה boot(), אשר מתזמרת את הפריסה המודולרית של היכולות.

כמו כן, זוהו שינויים לוגיים: בדיקות נוספות עבור דפדפן פיירפוקס ושיטה שונה לאישור נוכחות אפליקציית המסרים טלגרם. אלה אינם פרטים קטנים; הם מצביעים על כוונה ברורה להפוך את איסוף הנתונים לאמין יותר ולהרחיב את היקפו.

מודולים ששמו שונה וחלקים חדשים

עם כל גרסה, משפחת XCSSET שינתה מעט את שמות המודולים שלה, משחק חתול ועכבר קלאסי ל- להקשות על מעקב אחר גרסאות וחתימותלמרות זאת, הפונקציונליות שלו נשארת עקבית בדרך כלל.

בין המודולים המודגשים של גרסה זו מופיעים מזהים כגון וקסיאקג' (לשעבר seizecj), אשר הורד מודול נוסף בשם bnk ומפעיל אותו באמצעות osascript. זה תסריט מוסיף אימות נתונים, הצפנה, פענוח, אחזור תוכן נוסף מ-C2 ויכולות רישום אירועים, וכולל את רכיב ה-"clipper".

זה גם מוזכר neq_cdyd_ilvcmwx, בדומה ל-txzx_vostfdi, שאחראי על להוציא קבצים לשרת הפיקוד והבקרההמודול xmyyeqjx שמכין את התמדה מבוססת LaunchDaemon; jey (לשעבר jez) שמגדיר התמדה דרך גיט; ו iewemilh_cdyd, אחראי על גניבת נתונים מפיירפוקס באמצעות גרסה שונה של הכלי הציבורי HackBrowserData.

• וקסיאקג'מודול מידע; הורדה ושימוש BNK, משלב קליפר והצפנה.
• neq_cdyd_ilvcmwx: חילוץ קבצים ל-C2.
• xmyyeqjx: התמדה על ידי LaunchDaemon.
• jeyהתמדה דרך גיט.
• iewemilh_cdydגניבת נתונים של Firefox עם HackBrowserData שעברו שינוי.

ההתמקדות בפיירפוקס רלוונטית במיוחד, משום מרחיב את טווח ההגעה מעבר ל-Chromium ו-Safariמשמעות הדבר היא שמגוון הקורבנות הפוטנציאליים גדל, וטכניקות לחילוץ אישורים ועוגיות עוברות שיפור עבור מנועי דפדפן מרובים.

גניבת מטבעות קריפטוגרפיים באמצעות חטיפת לוח כתיבה

אחת היכולות המדאיגות ביותר באבולוציה זו היא מודול ה"קליפר". מנטר את הלוח אחר ביטויים רגולריים התואמים כתובות קריפטוגרפיות (פורמטים שונים של ארנקים). ברגע שהוא מזהה התאמה, הוא מחליף מיד את הכתובת בכתובת הנשלטת על ידי התוקף.

התקפה זו אינה דורשת הרשאות מוגברות כדי לגרום הרס: הקורבן מעתיק את כתובתו מארנקו, מדביק אותה כדי לשלוח כספים, ובלי דעת מעביר אותה לתוקף.כפי שציין צוות מיקרוסופט, זה פוגע באמון במשהו בסיסי כמו העתקה והדבקה.

השילוב של קליפר וגניבת נתוני דפדפן הופך את XCSSET ל... איום מעשי על פושעי סייבר המתמקדים בנכסי קריפטוהם יכולים להשיג עוגיות של סשן, סיסמאות שנשמרו ואפילו לנתב מחדש עסקאות מבלי לגעת ביתרה הנראית לעין של הקורבן עד שיהיה מאוחר מדי.

טקטיקות נוספות של התמדה והסוואה

בנוסף ל-"zshrc" ו-"dock", מיקרוסופט מתארת ​​שגרסה זו מוסיפה ערכי LaunchDaemon שמבצעים מטען בקובץ ~/.rootמנגנון זה מבטיח אתחול מוקדם ויציב ומסתיר את עצמו בין סבך שירותי המערכת הנטענים ברקע.

נצפתה גם היווצרות של אפליקציית הגדרות מערכת מזויפת ב-/tmp, המאפשרת לתוכנה זדונית להסוות את פעילותה תחת מסווה של אפליקציית מערכת לגיטימית. סוג זה של התחזות מסייע במניעת חשד בעת בדיקת תהליכים או נתיבים במהלך ביצוע אקראי.

במקביל, עבודת ההטעיה של XCSSET חוזרת לאור הזרקורים: הצפנה מתוחכמת יותר, שמות מודולים אקראיים ו-AppleScripts להפעלה בלבדהכל מצביע על הארכת תוחלת החיים של הקמפיין לפני שהוא ינוטרל על ידי חתימות וכללי גילוי.

יכולות היסטוריות: מעבר לדפדפן

במבט לאחור, XCSSET לא הוגבל רק לריקון דפדפנים. היכולת שלו ל לחלץ נתונים מאפליקציות כמו Google Chrome, אופרה, טלגרם, אוורנוט, סקייפ, וויצ'אט והאפליקציות של אפל עצמה כמו אנשי קשר והערותכלומר, מגוון מקורות הכוללים העברת הודעות, פרודוקטיביות ונתונים אישיים.

בשנת 2021, דוחות כמו זה של Jamf תיארו כיצד XCSSET ניצל CVE-2021-30713, עקיפת מסגרת TCC, לשתות צילומי מסך של שולחן העבודה מבלי לבקש רשות. מיומנות זו מתאימה למטרה ברורה: ריגול ואיסוף חומר רגיש עם חיכוך מינימלי עבור המשתמש.

עם הזמן, התוכנה הזדונית הותאמה ל תאימות ל-macOS מונטריי ועם שבבי ה-M1, משהו שמדגיש את המשכיות ותחזוקה על ידי התוקפיםעד היום, מקורו המדויק של המבצע נותר לא ברור.

איך זה מתגנב לפרויקטים של Xcode

ההתפלגות של XCSSET אינה מפורטת במילימטר, אך הכל מצביע על כך נצל את שיתוף הפרויקטים של Xcode בין מפתחיםאם מאגר או חבילה כבר נפגעו, כל בנייה עתידית תפעיל את הקוד הזדוני.

דפוס זה הופך צוותי פיתוח ל וקטורי התפשטות פריבילגיים, במיוחד בסביבות עם שיטות בדיקת תלויות רפויות, סקריפטים של בנייה או תבניות משותפות. זוהי תזכורת לכך ש- שרשרת אספקה ​​של תוכנה הפך למטרה חוזרת.

בהינתן תרחיש זה, הגיוני שהגרסה החדשה מחזקת ההיגיון שבהחלטה היכן להכניס מטענים בתוך הפרויקטככל שהמיקום שלך נראה "טבעי" יותר, כך פחות סביר שמפתח יזהה אותו בסריקה מהירה.

ארגונומיה של תקיפה: טעויות, שלבים וסימנים

מיקרוסופט כבר הכריזה על שיפורים ב-XCSSET מוקדם יותר השנה. ניהול שגיאות והתמדההדבר החשוב הוא שזה עכשיו משתלב בשרשרת הדבקה שלב אחר שלב: AppleScript שמפעיל פקודת מעטפת, שמורידה AppleScript אחרונה נוספת, שבתורה אוסף מידע על המערכת ומפעיל תת-מודולים.

אם אתם מחפשים סימנים, נוכחות של שמות זיהוי מסוג ~/.zshrc, מניפולציות ב-~/.zshrc, ערכים חשודים ב-LaunchDaemons, או אפליקציית System Settings.app מוזרה ב-/tmp אלו הם אינדיקטורים שכדאי לשים לב אליהם. כל פעילות חריגה ב-Dock (למשל, נתיבי Launchpad שהוחלפו) אמורה גם היא להפעיל התראות.

בסביבות מנוהלות, מערכות הפעלה (SOC) צריכות לכייל כללים הרודפים אחר osascript יוצא דופן, קריאות חוזרות ל-dockutil, וארטיפקטים מקודדים או מוצפנים ב-Base64 מקושר לתהליכי בנייה של Xcode ומשתמש בכלים כדי הצג תהליכים פועלים ב-macOSההקשר של הקומפילציה הוא המפתח להפחתת תוצאות חיוביות שגויות.

למי XCSSET מכוון?

המיקוד הטבעי הוא אלו המפתחים או קומפילים עם Xcode, אך ההשפעה יכולה להתרחב גם למשתמשים אשר התקנת אפליקציות מובנות מפרויקטים מזוהמים. החלק הפיננסי מופיע ב חטיפת לוח כתיבה, רלוונטי במיוחד עבור אלו המתעסקים באופן קבוע במטבעות קריפטוגרפיים.

בתחום הנתונים, ה- חילוץ מפיירפוקס ומאפליקציות אחרות מסכן אישורים, קובצי Cookie של סשן והערות אישיות. הוסף לכך את היכולות מדור קודם של צילומי מסך, הצפנת קבצים והודעות כופר, התמונה יותר ממלאה.

נראה שההתקפות שזוהו עד כה מוגבל בהיקפו, אך כפי שקורה לעתים קרובות, ייתכן שייקח זמן עד שהיקפו האמיתי של הקמפיין יתגלה. מודולריות מאפשרת איטרציות מהירות, שינויי שמות ו... כוונון עדין כדי למנוע גילוי.

המלצות מעשיות להפחתת הסיכון

ראשית, עדכנו את המשמעת: שמרו על מעודכנות של macOS ואפליקציות ולשקול פתרונות נגד תוכנות זדוניותXCSSET כבר ניצל פגיעויות, כולל פגיעויות של יום אפס, כך ששדרוג לגרסה העדכנית ביותר מפחית משמעותית את שטח התקיפה.

שנית, בדיקת פרויקטים של Xcode שאתם מורידים או משכפלים ממאגרים, והיו זהירים ביותר עם מה שאתם קומפילים. סקרו את סקריפטי הבנייה, שלבי הפעלת סקריפטים, תלויות וכל הקבצים שמבוצעים בתהליך הבנייה.

שלישית, היזהרו עם הלוח. הימנעו מהעתקה/הדבקה של כתובות ארנק לא מאומתותבדוק שוב את התו הראשון והאחרון לפני אישור עסקאות. זוהי מחווה קטנה שיכולה לחסוך לך הרבה צרות.

רביעית, טלמטריה וציד. מנטר osascript, dockutil, שינויים ב- ~/.zshrc ו- LaunchDaemonsאם אתם מנהלים ציי רכב, שלבו כללי EDR המזהים AppleScripts יוצאי דופן שעברו קומפילציה או העלאות מקודדות חוזרות ונשנות בתהליכי בנייה.