macOS의 XCSSET: 새로운 변종의 작동 방식과 방어 방법

마지막 업데이트 : 29/09/2025
저자 : 이삭
  • 고급 난독화 및 다중 지속성(zshrc, Dock 및 LaunchDaemon)을 갖춘 XCSSET의 새로운 변형입니다.
  • Firefox에 데이터 도난을 확장하고 암호화 거래를 전환하기 위한 클리퍼를 추가합니다. 클립 보드.
  • 공유 Xcode 프로젝트 감염: 실행 전용 AppleScript, 이름이 변경된 모듈, C2 유출.
  • 권장 사항: macOS를 업데이트하고, 빌드하기 전에 프로젝트를 감사하고, osascript/dockutil을 모니터링하세요.

macOS의 XCSSET 맬웨어

가족 악성 코드 macOS용 XCSSET이 개선된 버전으로 돌아왔습니다. 결코 쉬운 일이 아닙니다. Microsoft Threat Intelligence는 난독화, 지속성 및 데이터 도난 기술에 있어 상당한 변화를 확인했습니다. 이 오래된 지인의 수준을 한 단계 끌어올린 것입니다. Xcode를 사용하거나 팀 간에 프로젝트를 공유하는 경우, 최신 동향을 파악하는 것이 중요합니다.

XCSSET은 2020년에 발견된 이래로 Apple 생태계의 변화에 ​​적응해 왔습니다. 현재 관찰되고 있는 것은 2022년 이후 처음으로 공개적으로 기록된 새로운 변종입니다., 제한적인 공격에서 탐지되었지만 기능이 확장되었습니다. 이는 Xcode 프로젝트에 침투하여 컴파일 시 페이로드를 실행하는 모듈형 악성코드이며, 이번 버전에서는 더욱 교묘한 전략을 사용하여 위장하고 생존합니다.

XCSSET이란 무엇이고 왜 그렇게 잘 퍼지는 걸까요?

본질적으로 XCSSET은 다음과 같은 악성 모듈 세트입니다. Xcode 프로젝트를 감염시키고 빌드 중에 해당 기능을 활성화합니다.가장 가능성 있는 전파 벡터는 협업하는 개발자들 사이에서 프로젝트 파일을 공유하는 것입니다. macOS의 경우 각 빌드의 실행 기회가 늘어납니다.

이 맬웨어는 역사적으로 제로데이 취약점을 악용할 수 있었습니다. 프로젝트에 코드를 삽입하고 Safari와 같은 Apple 생태계 구성 요소에 백도어를 도입할 수도 있습니다.진화하는 동안 최신 버전의 macOS 및 Apple Silicon(M1) 아키텍처와의 호환성도 추가되어 놀라운 적응성을 보여주었습니다.

현장에서 XCSSET은 다음과 같이 작동합니다. 정보 도둑과 criptomonedas: 인기 있는 프로그램(Evernote, Notes, Skype, Telegram, QQ)에서 데이터를 수집할 수 있습니다. WeChat 시스템 및 애플리케이션 파일을 유출하고 특히 디지털 지갑을 표적으로 삼습니다. 또한 일부 변종은 허가받지 않은 스크린샷, 파일 암호화, 랜섬노트 배포.

최신 버전의 새로운 기능

Microsoft는 최신 변형이 다음을 통합한다고 자세히 설명했습니다. 난독화, 지속성 및 감염 전략의 새로운 방법. 더 이상 단순히 이름 바꾸기나 코드 압축에 대해서만 이야기하는 것이 아닙니다. 이제 Xcode 프로젝트를 오염시키기 위해 페이로드를 생성하는 방식에 더 많은 무작위성이 있습니다.

눈에 띄는 변화는 여러 코딩 기법을 결합한 것입니다. 이전 버전에서는 xxd(hexdump)에만 의존했지만, 새 버전에서는 Base64를 추가하고 무작위 반복 횟수를 적용합니다.이로 인해 화물을 식별하고 풀어내는 것이 더욱 어려워졌습니다.

모듈의 내부 이름도 그 어느 때보다 더 숨겨져 있습니다. 그들은 목적을 숨기기 위해 코드 수준에서 난독화됩니다.이로 인해 정적 분석과 시스템 내의 기능과 관찰 가능한 효과 간의 상관관계가 복잡해집니다.

지속성: "zshrc" 및 "dock" 방법

XCSSET의 재발의 특징 중 하나는 감염 후 생존을 위한 두 가지 매우 다른 경로입니다. "zshrc" 방법은 각 세션에서 자동 실행을 위해 셸 구성을 활용합니다.그리고 "dock" 방법은 시스템 바로가기를 조작하여 사용자에게 투명하게 악성 페이로드를 실행합니다.

  Avast가 작동하지 않음, 원인, 솔루션, 대안

"zshrc" 접근 방식에서 맬웨어는 다음과 같은 파일을 생성합니다. ~/.zshrc_aliases와 페이로드 그리고 ~/.zshrc에 새 세션이 열릴 때마다 파일이 로드되도록 하는 명령을 추가합니다. 이렇게 하면 명백한 의심 없이 모든 터미널에서 지속성을 유지할 수 있습니다.

"도크" 계획에는 명령 및 제어 서버에서 서명된 도구를 다운로드하는 것이 포함됩니다. Dock 요소를 관리하기 위한 dockutil그런 다음 가짜 Launchpad 앱을 생성하고 Dock에 있는 진짜 Launchpad 경로를 해당 가짜 앱으로 대체합니다. 결과적으로 사용자가 Dock에서 Launchpad를 실행할 때마다 진짜 Launchpad가 열리고, 동시에 악성 페이로드가 활성화되었습니다.

강화로서 변형은 다음을 도입합니다. Xcode 프로젝트에서 페이로드를 삽입할 위치를 결정하기 위한 새로운 기준이렇게 하면 프로젝트 트리를 검토할 때 개발자가 특이한 것을 발견할 가능성이 최소화되고 영향이 최적화됩니다.

AppleScript, 스텔스 실행 및 감염 체인

Microsoft 연구에 따르면 XCSSET은 다음과 같습니다. 실행 전용 모드로 컴파일된 AppleScript 조용히 실행되어 직접 분석을 통해 내용이 드러나지 않도록 합니다. 이 기술은 스크립트 검사 도구를 피하고 투명성을 유지하려는 목표에 부합합니다.

감염 사슬의 네 번째 단계에서는 다음이 관찰됩니다. AppleScript 애플리케이션은 최종 단계를 다운로드하기 위해 셸 명령을 실행합니다.이 마지막 AppleScript는 손상된 시스템에서 정보를 수집하고 boot() 함수를 호출하여 하위 모듈을 부팅합니다. 이 함수는 기능의 모듈식 배포를 조율합니다.

또한 로직 변경 사항도 감지되었습니다. Firefox 브라우저에 대한 추가 검사 그리고 텔레그램 메시징 앱의 존재 여부를 확인하는 또 다른 방법이 있습니다. 이는 사소한 세부 사항이 아니라, 데이터 수집의 신뢰성을 높이고 범위를 확장하려는 명확한 의도를 보여줍니다.

이름이 변경된 모듈 및 새로운 부품

XCSSET 제품군은 각 개정마다 모듈 이름을 약간씩 변경했습니다. 이는 고전적인 고양이와 쥐 게임과 같습니다. 버전과 서명을 추적하기 어렵게 만듭니다.그럼에도 불구하고, 그 기능은 일반적으로 일관성을 유지합니다.

이 변형의 강조된 모듈에는 다음과 같은 식별자가 나타납니다. 벡시예크제이 (이전에는 seizecj) bnk라는 또 다른 모듈을 다운로드하세요 osascript를 사용하여 실행합니다. 스크립트 데이터 검증, 암호화, 복호화, C2에서 추가 콘텐츠 가져오기, 이벤트 로깅 기능이 추가되었으며 "클리퍼" 구성 요소가 포함되어 있습니다.

또한 언급되어 있습니다 neq_cdyd_ilvcmwxtxzx_vostfdi와 유사하며 다음을 담당합니다. 명령 및 제어 서버로 파일 추출; 모듈 xmyyeqjx 그것을 준비합니다 LaunchDaemon 기반 지속성; 지이 (이전에는 jez)를 구성합니다. Git을 통한 지속성, 그리고 이우밀흐_치디드공개된 HackBrowserData 도구의 수정된 버전을 사용하여 Firefox에서 데이터를 훔친 혐의가 있습니다.

  • 벡시예크제이: 정보 모듈; 다운로드 및 사용 BNK, 클리퍼와 암호화를 통합했습니다.
  • neq_cdyd_ilvcmwx: C2로 파일 유출.
  • xmyyeqjx: LaunchDaemon의 지속성.
  • 지이: Git을 통한 지속성.
  • 이우밀흐_치디드: HackBrowserData를 수정하여 Firefox 데이터를 도용했습니다.

Firefox에 대한 초점은 특히 관련이 있습니다. Chromium 및 Safari를 넘어 도달 범위를 확장합니다.이는 잠재적 피해자의 범위가 증가하고 있으며, 여러 브라우저 엔진에 맞춰 자격 증명 및 쿠키 추출 기술이 개선되고 있음을 의미합니다.

  WDAC 조작 공격이란 무엇이고, 어떻게 방어할 수 있나요?

클립보드 해킹을 이용한 암호화폐 도난

이러한 진화 과정에서 가장 큰 관심을 받는 기능 중 하나는 "클리퍼" 모듈입니다. 암호화폐 주소와 일치하는 정규 표현식을 클립보드에서 모니터링합니다. (다양한 지갑 형식). 일치하는 주소를 감지하는 즉시 해당 주소를 공격자가 제어하는 ​​주소로 대체합니다.

이 공격은 파괴적인 결과를 초래하는 데 높은 권한이 필요하지 않습니다. 피해자는 지갑에서 자신의 주소를 복사하여 붙여넣어 자금을 보내고 자신도 모르게 공격자에게 전송합니다.Microsoft 팀이 지적했듯이, 이는 복사 및 붙여넣기와 같은 기본적인 작업에 대한 신뢰도를 떨어뜨립니다.

클리퍼와 브라우저 데이터 도용의 조합으로 인해 XCSSET이 발생합니다. 암호 자산에 초점을 맞춘 사이버 범죄자에 대한 실질적인 위협이들은 피해자의 가시적 잔액에 손을 대지 않고도 세션 쿠키, 저장된 비밀번호를 얻을 수 있으며, 심지어 거래를 리디렉션할 수도 있는데, 너무 늦을 때까지 그럴 수 없습니다.

끈기와 위장의 다른 전술

Microsoft에서는 "zshrc" 및 "dock" 외에도 이 변형이 추가된다고 설명합니다. ~/.root에서 페이로드를 실행하는 LaunchDaemon 항목이 메커니즘은 조기에 안정적인 시작을 보장하고 백그라운드에서 로딩되는 시스템 서비스의 혼란 속에 숨어 있습니다.

a의 생성도 관찰되었습니다. /tmp의 스푸핑된 시스템 설정 앱맬웨어가 합법적인 시스템 앱으로 위장하여 자신의 활동을 위장할 수 있도록 하는 기능입니다. 이러한 유형의 사칭은 무작위 실행 중 프로세스나 경로를 검사할 때 의심을 피하는 데 도움이 됩니다.

동시에 XCSSET의 난독화 작업이 다시 주목을 받고 있습니다. 더욱 정교한 암호화, 무작위 모듈 이름 및 실행 전용 AppleScript모든 것은 서명과 탐지 규칙에 의해 무력화되기 전에 캠페인의 수명을 연장하는 것을 가리킵니다.

역사적 기능: 브라우저를 넘어서

돌이켜보면 XCSSET은 브라우저를 비우는 데만 국한되지 않았습니다. 앱에서 데이터를 추출합니다. Google Chrome, 오페라, 텔레그램, 에버노트, 스카이프, 위챗 그리고 Apple 자체의 애플리케이션 등 연락처 및 메모즉, 메시징, 생산성, 개인 데이터를 포함한 다양한 소스입니다.

2021년에 Jamf와 같은 보고서에서는 XCSSET이 어떻게 악용되었는지 설명했습니다. CVE-2021-30713, TCC 프레임워크 우회, 마시다 데스크톱 스크린샷 허가를 요청하지 않고도 가능합니다. 이 기술은 명확한 목표에 적합합니다. 스파이 활동 및 민감한 자료 수집 사용자에게 최소한의 마찰만 주어집니다.

시간이 지남에 따라 맬웨어는 다음과 같이 조정되었습니다. macOS Monterey 호환성 그리고 M1 칩을 사용하면 다음과 같은 점이 강조됩니다. 공격자에 의한 연속성 및 유지 관리오늘날까지도 이 작전의 정확한 기원은 불분명하다.

Xcode 프로젝트에 어떻게 침투하는가

XCSSET의 분포는 밀리미터 단위로 자세히 설명되어 있지 않지만 모든 것이 다음을 나타냅니다. 개발자 간 Xcode 프로젝트 공유를 활용하세요저장소나 패키지가 이미 손상된 경우, 이후의 모든 빌드에서 악성 코드가 활성화됩니다.

이 패턴은 개발 팀을 다음과 같이 전환합니다. 특권 전파 벡터특히 종속성 검사 관행, 빌드 스크립트 또는 공유 템플릿이 느슨한 환경에서는 더욱 그렇습니다. 이는 소프트웨어 공급망 반복적인 표적이 되었습니다.

  WhatsApp: 개인정보 보호 및 보안 완벽 가이드

이 시나리오를 감안할 때 새로운 변형이 강화되는 것이 합리적입니다. 프로젝트 내에서 페이로드를 삽입할 위치를 결정하는 논리위치가 더 "자연스러워" 보일수록 개발자가 빠른 스캔으로 해당 위치를 발견할 가능성은 줄어듭니다.

공격 인체공학: 오류, 단계 및 징후

Microsoft는 올해 초에 XCSSET에 대한 개선 사항을 이미 발표했습니다. 오류 관리 및 지속성. 중요한 것은 이제 단계별 감염 체인에 들어맞는다는 것입니다. 즉, 셸 명령을 실행하고 다른 최종 AppleScript를 다운로드하는 AppleScript입니다. 시스템 정보를 수집하고 하위 모듈을 실행합니다..

당신이 표지판을 찾고 있다면, ~/.zshrc_aliases, ~/.zshrc의 조작, LaunchDaemons의 의심스러운 항목 또는 /tmp의 이상한 System Settings.app 이는 주의해야 할 지표입니다. Dock에서 비정상적인 활동(예: Launchpad 경로 변경)이 발생하면 경보가 울립니다.

관리되는 환경에서 SOC는 다음을 추구하는 규칙을 보정해야 합니다. 비정상적인 osascript, dockutil에 대한 반복적인 호출, Base64로 인코딩되거나 암호화된 아티팩트 Xcode 빌드 프로세스에 연결하고 도구를 사용합니다. macOS에서 실행 중인 프로세스 보기. 컴파일의 맥락은 거짓 양성을 줄이는 데 중요합니다.

XCSSET은 누구를 타겟으로 하나요?

자연스럽게 Xcode를 개발하거나 컴파일하는 사람들에게 초점을 맞추지만 영향은 다음과 같은 사용자에게까지 확대될 수 있습니다. 내장 앱 설치 오염된 프로젝트에서. 재정 부분은 다음에 나타납니다. 클립보드 하이재킹특히 암호화폐를 정기적으로 다루는 사람들에게는 더욱 그렇습니다.

데이터 영역에서 Firefox 및 기타 앱에서의 추출 자격 증명, 세션 쿠키 및 개인 메모를 위험에 빠뜨립니다. 여기에 기존 기능을 추가하면 스크린샷, 파일 암호화 및 랜섬 노트, 그림은 이미 완벽 이상입니다.

지금까지 감지된 공격은 다음과 같습니다. 범위가 제한됨하지만 흔히 그렇듯이 캠페인의 진정한 규모가 드러나는 데는 시간이 걸릴 수 있습니다. 모듈식 방식은 빠른 반복, 이름 변경 및 감지되지 않도록 미세 조정.

위험을 줄이기 위한 실용적인 권장 사항

첫째, 분야를 업데이트하세요. macOS와 앱을 최신 상태로 유지하세요 그리고 고려 안티멀웨어 솔루션XCSSET은 이미 제로데이 취약점을 포함한 취약점을 악용했으므로 최신 버전으로 업그레이드하면 공격 표면이 크게 줄어듭니다.

둘째, Xcode 프로젝트 검사 저장소에서 다운로드하거나 복제하고, 컴파일하는 내용에 매우 신중해야 합니다. 빌드 스크립트를 검토하고, 스크립트 단계 실행, 종속성 및 빌드 프로세스에서 실행되는 모든 파일.

셋째, 클립보드를 조심하세요. 검증되지 않은 지갑 주소를 복사/붙여넣기하지 마세요.: 거래를 확인하기 전에 첫 글자와 마지막 글자를 다시 한번 확인해 주세요. 이는 작은 배려로 많은 문제를 예방할 수 있습니다.

넷째, 원격 측정과 사냥. osascript, dockutil, ~/.zshrc 및 LaunchDaemons에 대한 변경 사항을 모니터링합니다.플릿을 관리하는 경우 빌드 프로세스에서 비정상적으로 컴파일된 AppleScript나 반복적으로 코딩된 업로드를 감지하는 EDR 규칙을 통합하세요.