macOS上のXCSSET:新たな亜種の仕組みと防御方法

最終更新: 29/09/2025
著者: アイザック
  • 高度な難読化と複数の永続性 (zshrc、Dock、LaunchDaemon) を備えた XCSSET の新しいバリアント。
  • Firefoxへのデータ窃盗を拡大し、暗号通貨取引を迂回させるクリッパーを追加 クリップボード.
  • 共有 Xcode プロジェクトの感染: 実行専用の AppleScript、名前が変更されたモジュール、C2 の流出。
  • 推奨事項: macOS を更新し、ビルド前にプロジェクトを監査し、osascript/dockutil を監視します。

macOS上のXCSSETマルウェア

の家族 マルウェア macOS 用の XCSSET が改良版となって戻ってきましたが、これは決して小さな成果ではありません。 Microsoft 脅威インテリジェンスは、難読化、永続化、およびデータ盗難の手法における重大な変化を特定しました。 この古くからの知り合いのレベルをさらに引き上げるものです。Xcode を使っている場合や、チーム間でプロジェクトを共有している場合は、何が起こっているかを常に把握しておく必要があります。

XCSSET は 2020 年に発見されて以来、Apple エコシステムの変化に適応してきました。 現在観察されているのは、2022年以降で初めて公に文書化された新たな変異体です。限定的な攻撃で検出されるものの、機能が拡張されています。これはモジュール型のマルウェアで、Xcodeプロジェクトに侵入し、コンパイル時にペイロードを実行します。今回のバージョンでは、より巧妙な戦術を用いてカモフラージュし、生存を続けます。

XCSSET とは何ですか? なぜこれほど広く拡散するのですか?

本質的には、XCSSETは悪意のあるモジュールのセットであり、 Xcodeプロジェクトに感染し、ビルド中にその機能を起動する最も可能性の高い伝播ベクトルは、共同開発者間でのプロジェクト ファイルの共有です。 apps macOS の場合、各ビルドでの実行機会が増えます。

このマルウェアはこれまでゼロデイ脆弱性を悪用することができたが、 プロジェクトにコードを挿入したり、SafariなどのAppleエコシステムのコンポーネントにバックドアを導入したりする。進化の過程で、macOS の新しいバージョンや Apple Silicon (M1) アーキテクチャとの互換性も追加され、優れた適応性が実証されています。

地上では、XCSSETは 情報泥棒と クリプトクロス: 人気のプログラム(Evernote、Notes、Skype、Telegram、QQなど)からデータを収集できます。 WeChat など)、システムファイルやアプリケーションファイルを盗み出し、特にデジタルウォレットを標的とする。さらに、いくつかの亜種は 不正なスクリーンショット、ファイルの暗号化、身代金要求の通知.

最新版の新機能

マイクロソフトは、最新の亜種には 難読化、持続化、感染戦略の新しい方法もはや、名前のスワッピングやコードの圧縮について話しているだけではありません。Xcode プロジェクトを汚染するペイロードを生成する方法に、よりランダム性が加わりました。

顕著な変化は、コーディング技術の組み合わせです。以前のバージョンではxxd(hexdump)のみを使用していましたが、 新しいバージョンではBase64が追加され、ランダムな回数の反復処理が適用されます。貨物の識別や解読がさらに困難になります。

モジュールの内部名もこれまで以上に隠されています。 目的を隠すためにコードレベルで難読化されているこれにより、静的分析と、システム内の機能と観測可能な効果との相関関係が複雑になります。

永続性:「zshrc」と「dock」メソッド

XCSSET の今回の復活の特徴の 1 つは、感染後に生き続けるための 2 つの非常に異なる経路です。 「zshrc」メソッドは、シェルの設定を利用して各セッションで自動実行します。「ドック」方式では、システムのショートカットを操作して、悪意のあるペイロードをユーザーから透過的に実行します。

  アバストが動作しない、原因、解決策、代替案

「zshrc」アプローチでは、マルウェアは次のようなファイルを作成します。 ペイロードを含む ~/.zshrc_aliases そして、新しいセッションが開かれるたびにファイルが読み込まれるようにするコマンドを~/.zshrcに追加します。これにより、明白な疑念を抱かせることなく、すべてのターミナル間での永続性が確保されます。

「ドック」計画では、コマンド&コントロールサーバーから署名されたツールをダウンロードし、 dockutil、Dock要素を管理するその後、偽のLaunchpadアプリを作成し、Dock内の正規のLaunchpadへのパスをその偽のアプリに置き換えます。その結果、ユーザーがDockからLaunchpadを起動するたびに、本物のLaunchpadが開き、同時に 悪意のあるペイロードが起動される.

強化策として、この変種では Xcodeプロジェクトのどこにペイロードを挿入するかを決定するための新しい基準これにより、影響が最適化され、開発者がプロ​​ジェクト ツリーを確認するときに異常を発見する可能性が最小限に抑えられます。

AppleScript、ステルス実行、感染チェーン

マイクロソフトの調査によると、XCSSETは 実行専用モードでコンパイルされたAppleScript サイレントに実行され、直接的な分析によって内容が明らかになるのを防ぎます。この手法は、スクリプトの不可視性と検査ツールの回避という目的に合致しています。

感染連鎖の第4段階では、 AppleScriptアプリケーションはシェルコマンドを実行して最終段階をダウンロードするこの最後の AppleScript は、侵害されたシステムから情報を収集し、boot() 関数を呼び出してサブモジュールを起動し、機能のモジュール展開を調整します。

ロジックの変更も検出されました: Firefoxブラウザの追加チェック Telegramメッセージングアプリの存在を確認するための別の方法。これらは些細なことではなく、データ収集の信頼性を高め、その範囲を拡大するという明確な意図を示しています。

名前が変更されたモジュールと新しいパーツ

XCSSETファミリーは、改訂ごとにモジュールの名前を少しずつ変更し、古典的な猫とネズミのゲームのように バージョンや署名の追跡が困難になるそれでも、その機能は概ね一貫しています。

この亜種の強調表示されたモジュールの中には、次のような識別子が現れる。 ベクシエック (旧称 seizecj) bnkという別のモジュールをダウンロードする そしてosascriptを使って実行します。これは スクリプト データ検証、暗号化、復号化、C2 からの追加コンテンツの取得、イベント ログ機能が追加され、「クリッパー」コンポーネントも含まれています。

また、 neq_cdyd_ilvcmwxtxzx_vostfdiと同様に、 コマンド&コントロールサーバーにファイルを流出させる; モジュール xmyyeqjx 準備するもの LaunchDaemonベースの永続性; Jey (旧称jez)は、 Gitによる永続化、そして、 iewmilh_cdyd公開されている HackBrowserData ツールの改変版を使用して Firefox からデータを盗む攻撃者です。

  • ベクシエック: 情報モジュール; ダウンロードして使用 BNKクリッパーと暗号化を統合します。
  • neq_cdyd_ilvcmwx: C2 へのファイルの流出。
  • xmyyeqjx: LaunchDaemon による永続化。
  • Jey: Git による永続化。
  • iewmilh_cdyd: 改変された HackBrowserData による Firefox データの盗難。

Firefoxに焦点を当てることは特に重要です。 ChromiumとSafariを超えてリーチを拡大これは、潜在的な被害者の範囲が拡大していることを意味しており、認証情報と Cookie の抽出手法は複数のブラウザ エンジン向けに改良されています。

  WDAC 操作攻撃とは何か、そしてどのように身を守るのか?

クリップボードハイジャックによる暗号通貨の盗難

この進化において最も注目すべき機能の 1 つは、「クリッパー」モジュールです。 暗号通貨アドレスに一致する正規表現をクリップボードで監視します (様々なウォレット形式)。一致が検出されるとすぐに、そのアドレスは攻撃者が管理するアドレスに置き換えられます。

この攻撃では、大混乱を引き起こすために昇格された権限は必要ありません。 被害者はウォレットからアドレスをコピーし、それを貼り付けて資金を送信し、知らないうちに攻撃者に転送します。Microsoft チームが指摘したように、これはコピーと貼り付けのような基本的な操作に対する信頼を損なうものです。

クリッパーとブラウザデータの盗難の組み合わせにより、XCSSETは 暗号資産を狙うサイバー犯罪者への現実的な脅威攻撃者は、セッション クッキーや保存されたパスワードを取得し、被害者の目に見える残高に触れることなく、手遅れになるまで取引をリダイレクトすることさえできます。

その他の粘り強さとカモフラージュの戦術

マイクロソフトは、「zshrc」と「dock」に加えて、この亜種は ~/.root 内のペイロードを実行する LaunchDaemon エントリこのメカニズムにより、早期かつ安定した起動が保証され、バックグラウンドで読み込まれるシステム サービスの混乱の中に隠れることができます。

の作成も観察されている /tmp 内の偽装されたシステム設定.appマルウェアは、正規のシステムアプリを装って自身の活動を偽装することができます。このタイプの偽装は、ランダム実行中のプロセスやパスを検査する際に、疑惑を回避するのに役立ちます。

並行して、XCSSET の難読化作業が再び注目を集めています。 より洗練された暗号化、ランダムなモジュール名、実行専用のAppleScriptすべては、シグネチャと検出ルールによって無効化される前に、キャンペーンの存続期間が延長されることを示しています。

履歴機能: ブラウザを超えて

振り返ってみると、XCSSETはブラウザを空にするだけにとどまりませんでした。 次のようなアプリからデータを抽出する Google Chrome、オペラ、テレグラム、エバーノート、スカイプ、WeChat そしてApple独自のアプリケーション、例えば 連絡先とメモつまり、メッセージング、生産性、個人データを含むさまざまなソースです。

2021年には、Jamfなどの報告書でXCSSETがどのように悪用されたかが説明された。 CVE-2021-30713、TCCフレームワークのバイパス、 飲む デスクトップのスクリーンショット 許可を求めることなく。このスキルは明確な目的に合致しています。 スパイ活動と機密資料の収集 ユーザーにとっての摩擦は最小限に抑えられます。

時間が経つにつれて、マルウェアは macOS Monterey の互換性 M1チップを搭載し、 攻撃者による継続性と維持今日に至るまで、この作戦の正確な起源は不明のままである。

Xcodeプロジェクトに潜入する方法

XCSSETの分布はミリメートル単位で詳細ではありませんが、すべてが 開発者間でXcodeプロジェクトを共有するリポジトリまたはパッケージがすでに侵害されている場合、後続のビルドで悪意のあるコードがアクティブ化されます。

このパターンは開発チームを 特権伝播ベクトル特に、依存関係のチェックが不十分な環境、ビルドスクリプト、共有テンプレートなどでは、 ソフトウェアサプライチェーン 繰り返し標的となるようになりました。

  WhatsApp:プライバシーとセキュリティの完全ガイド

このシナリオを考えると、新しい変異株が プロジェクト内でペイロードを挿入する場所を決定するロジック場所が「自然」に見えるほど、開発者が素早くスキャンして見つける可能性は低くなります。

攻撃の人間工学:エラー、段階、兆候

Microsoft は今年初めにすでに XCSSET の改良を発表していた。 エラー管理と永続性重要なのは、これが段階的な感染チェーンに当てはまることです。シェルコマンドを起動するAppleScriptが、別の最終的なAppleScriptをダウンロードし、それが システム情報を収集し、サブモジュールを起動する.

兆候を探しているなら、 ~/.zshrc_aliases、~/.zshrc 内の操作、LaunchDaemons 内の疑わしいエントリ、または /tmp 内の奇妙な System Settings.app これらは注意すべき指標です。Dock 内での異常なアクティビティ(例:Launchpad パスの置き換え)もアラームをトリガーする必要があります。

管理された環境では、SOCは次のようなルールを調整する必要があります。 異常な osascript、dockutil の繰り返し呼び出し、Base64 でエンコードまたは暗号化されたアーティファクト Xcodeのビルドプロセスにリンクされ、ツールを使用する macOSで実行中のプロセスを表示するコンパイルのコンテキストは誤検知を減らすための鍵となります。

XCSSET は誰をターゲットにしているのでしょうか?

当然ながら、Xcodeで開発やコンパイルを行うユーザーが対象となりますが、その影響は以下のようなユーザーにも及ぶ可能性があります。 組み込みアプリをインストールする 汚染されたプロジェクトからの資金援助。財務報告は クリップボードハイジャック特に暗号通貨を定期的に扱う人にとっては重要です。

データ分野では、 Firefoxや他のアプリからの流出 認証情報、セッションCookie、個人メモが危険にさらされる。さらに、従来の機能も加わり、 スクリーンショット、ファイルの暗号化、身代金要求のメモ、絵は完成以上です。

これまでに検出された攻撃は 範囲が限定されているしかし、よくあることですが、キャンペーンの真の規模が明らかになるまでには時間がかかるかもしれません。モジュール化により、迅速な反復、名前の変更、そして 検出を回避するための微調整.

リスクを軽減するための実践的な推奨事項

まず、規律を更新します。 macOSとアプリを最新の状態に保つ そして検討してください マルウェア対策ソリューションXCSSET はすでにゼロデイ脆弱性を含む脆弱性を悪用しているため、最新バージョンにアップグレードすると攻撃対象領域が大幅に減少します。

第二に、 Xcodeプロジェクトを検査する リポジトリからダウンロードまたはクローンしたものは、コンパイル時に細心の注意を払ってください。ビルドスクリプトを確認し、 スクリプト実行フェーズ、依存関係、およびビルド プロセスで実行されるすべてのファイル。

3番目に、クリップボードに注意してください。 未確認のウォレットアドレスのコピー/貼り付けは避けてください: 取引を確定する前に、最初の文字と最後の文字をもう一度確認してください。ちょっとした心遣いで、多くのトラブルを回避できます。

4番目はテレメトリとハンティングです。 osascript、dockutil、~/.zshrc の変更、LaunchDaemons を監視します。フリートを管理する場合は、ビルド プロセスで異常にコンパイルされた AppleScript や繰り返しコード化されたアップロードを検出する EDR ルールを組み込みます。