- Varian baharu XCSSET dengan pengeliruan lanjutan dan pelbagai kegigihan (zshrc, Dock dan LaunchDaemon).
- Meluaskan kecurian data ke Firefox dan menambah gunting untuk mengalihkan urus niaga crypto daripada papan klip.
- Jangkitan projek Xcode yang dikongsi: Run-only AppleScripts, modul yang dinamakan semula dan exfiltration C2.
- Syor: Kemas kini macOS, audit projek sebelum membina dan pantau osascript/dockutil.
Keluarga dari malware XCSSET untuk macOS telah kembali dengan varian yang lebih baik, dan ia bukan satu kejayaan kecil: Perisikan Ancaman Microsoft telah mengenal pasti perubahan ketara dalam teknik pengeliruan, kegigihan dan kecurian data. yang menaikkan bar pada kenalan lama ini. Jika anda bekerja dengan Xcode atau berkongsi projek antara pasukan, anda pasti mahu sentiasa mengetahui perkara yang berlaku.
Sejak penemuannya pada 2020, XCSSET telah menyesuaikan diri dengan perubahan dalam ekosistem Apple. Apa yang kini diperhatikan ialah varian baharu pertama yang didokumenkan secara terbuka sejak 2022., dikesan dalam serangan terhad tetapi dengan keupayaan yang diperluaskan. Ini ialah perisian hasad modular yang menyelinap ke dalam projek Xcode untuk melaksanakan muatannya apabila ia disusun, dan dalam lelaran ini, ia menggabungkan taktik yang lebih licik untuk menyamarkan dirinya dan berterusan.
Apakah XCSSET dan mengapa ia tersebar dengan baik?
Pada dasarnya, XCSSET ialah satu set modul berniat jahat yang direka untuk menjangkiti projek Xcode dan mengaktifkan fungsinya semasa pembinaanVektor penyebaran yang paling munasabah ialah perkongsian fail projek antara pembangun yang bekerjasama. aplikasi untuk macOS, yang menggandakan peluang pelaksanaan dalam setiap binaan.
Perisian hasad ini secara sejarah telah dapat mengeksploitasi kelemahan sifar hari, menyuntik kod ke dalam projek dan juga memperkenalkan pintu belakang ke dalam komponen ekosistem Apple seperti SafariSepanjang evolusinya, ia juga telah menambah keserasian dengan versi seni bina macOS dan Apple Silicon (M1) yang lebih baharu, menunjukkan kebolehsuaian yang luar biasa.
Di lapangan, XCSSET berfungsi sebagai pencuri maklumat dan cryptocurrency: mampu mengumpul data daripada program popular (Evernote, Notes, Skype, Telegram, QQ, WeChat dan banyak lagi), keluarkan sistem dan fail aplikasi, dan secara khusus menyasarkan dompet digital. Selain itu, beberapa varian telah ditunjukkan Tangkapan skrin yang tidak dibenarkan, penyulitan fail dan pengerahan nota tebusan.
Apa yang baharu dalam varian terkini
Microsoft telah memperincikan bahawa varian terkini digabungkan Kaedah baharu bagi strategi penyimpangan, kegigihan dan jangkitan. Kami bukan lagi hanya bercakap tentang pertukaran nama atau pemampatan kod: kini terdapat lebih banyak rawak dalam cara ia menjana muatannya untuk mencemarkan projek Xcode.
Perubahan yang ketara ialah penggunaan gabungan teknik pengekodan. Walaupun lelaran sebelumnya hanya bergantung pada xxd (hexdump), Versi baharu menambah Base64 dan menggunakan bilangan lelaran rawak, menjadikannya lebih sukar untuk mengenal pasti dan membongkar kargo.
Nama dalaman modul juga lebih tersembunyi berbanding sebelum ini: Mereka dikaburkan pada tahap kod untuk menyembunyikan tujuan merekaIni merumitkan analisis statik dan korelasi antara fungsi dan kesan yang boleh diperhatikan dalam sistem.
Kegigihan: kaedah "zshrc" dan "dok".
Salah satu ciri kepulangan XCSSET ini ialah dua laluan yang sangat berbeza untuk terus hidup selepas jangkitan. Kaedah "zshrc" memanfaatkan konfigurasi shell untuk dijalankan secara automatik dalam setiap sesi, dan kaedah "dok" memanipulasi pintasan sistem untuk melaksanakan muatan berniat jahat secara telus kepada pengguna.
Dalam pendekatan "zshrc", perisian hasad mencipta fail yang dipanggil ~/.zshrc_aliases dengan muatan dan kemudian menambah arahan kepada ~/.zshrc yang memastikan bahawa fail dimuatkan setiap kali sesi baharu dibuka. Ini memastikan kegigihan merentasi semua terminal tanpa menimbulkan sebarang syak wasangka yang jelas.
Pelan "dok" melibatkan memuat turun alat yang ditandatangani daripada pelayan arahan dan kawalan, dockutil, untuk mengurus elemen Dock. Ia kemudian mencipta apl Launchpad palsu dan menggantikan laluan ke Launchpad yang sah dalam Dok dengan apl palsu itu. Keputusan: setiap kali pengguna melancarkan Launchpad dari Dok, yang sebenar dibuka dan, secara selari, muatan berniat jahat diaktifkan.
Sebagai pengukuhan, varian memperkenalkan Kriteria baharu untuk menentukan tempat dalam projek Xcode untuk memasukkan muatanIni mengoptimumkan impak dan meminimumkan kemungkinan pembangun mengesan sesuatu yang luar biasa semasa menyemak pokok projek.
AppleScript, pelaksanaan senyap dan rantaian jangkitan
Penyelidikan Microsoft menerangkan bahawa XCSSET menggunakan AppleScripts disusun dalam mod jalankan sahaja untuk berjalan secara senyap dan menghalang analisis langsung daripada mendedahkan kandungannya. Teknik ini sesuai dengan matlamatnya untuk tidak kelihatan dan mengelakkan alat pemeriksaan skrip.
Dalam fasa keempat rantaian jangkitan, diperhatikan bahawa Aplikasi AppleScript menjalankan arahan shell untuk memuat turun peringkat akhirAppleScript akhir ini mengumpulkan maklumat daripada sistem yang terjejas dan but submodul dengan menggunakan fungsi boot(), yang mengatur penggunaan modular keupayaan.
Perubahan logik juga telah dikesan: Pemeriksaan tambahan untuk pelayar Firefox dan kaedah berbeza untuk mengesahkan kehadiran aplikasi pemesejan Telegram. Ini bukan butiran kecil; mereka menunjukkan niat yang jelas untuk menjadikan pengumpulan data lebih dipercayai dan meluaskan skopnya.
Namakan semula modul dan bahagian baharu
Dengan setiap semakan, keluarga XCSSET mengubah sedikit nama modulnya, permainan kucing dan tetikus klasik untuk menyukarkan untuk menjejaki versi dan tandatangan. Walaupun begitu, fungsinya secara amnya kekal konsisten.
Antara modul yang diserlahkan bagi varian ini muncul pengecam seperti vexyeqj (dahulu seizecj), yang muat turun modul lain yang dipanggil bnk dan menjalankannya menggunakan osascript. ini skrip menambah pengesahan data, penyulitan, penyahsulitan, mengambil kandungan tambahan daripada C2 dan keupayaan pengelogan peristiwa, dan termasuk komponen "clipper".
Ia juga disebut neq_cdyd_ilvcmwx, serupa dengan txzx_vostfdi, yang bertanggungjawab untuk exfiltrate fail ke pelayan arahan dan kawalan; modul tersebut xmyyeqjx yang menyediakan Kegigihan berasaskan LaunchDaemon; Hey (dahulunya jez) yang mengkonfigurasi a kegigihan melalui Git; dan iewmilh_cdyd, bertanggungjawab untuk mencuri data daripada Firefox menggunakan versi diubah suai alat HackBrowserData awam.
- vexyeqj: modul maklumat; muat turun dan gunakan BNK, menyepadukan pemotong dan penyulitan.
- neq_cdyd_ilvcmwx: exfiltration fail ke C2.
- xmyyeqjx: kegigihan oleh LaunchDaemon.
- Hey: kegigihan melalui Git.
- iewmilh_cdyd: Kecurian data Firefox dengan HackBrowserData yang diubah suai.
Tumpuan pada Firefox amat relevan, kerana meluaskan jangkauan melepasi Chromium dan SafariIni bermakna julat mangsa yang berpotensi semakin meningkat, dan kelayakan serta teknik pengekstrakan kuki sedang diperhalusi untuk berbilang enjin penyemak imbas.
Kecurian mata wang kripto menggunakan rampasan papan keratan
Salah satu keupayaan yang menjadi perhatian terbesar dalam evolusi ini ialah modul "clipper". Pantau papan keratan untuk ungkapan biasa yang sepadan dengan alamat mata wang kripto (pelbagai format dompet). Sebaik sahaja ia mengesan perlawanan, ia segera menggantikan alamat dengan alamat yang dikawal oleh penyerang.
Serangan ini tidak memerlukan keistimewaan yang tinggi untuk menimbulkan malapetaka: Mangsa menyalin alamat mereka dari dompet mereka, menampalnya untuk menghantar dana, dan tanpa disedari memindahkannya kepada penyerangSeperti yang ditunjukkan oleh pasukan Microsoft, ini menghakis kepercayaan terhadap sesuatu yang asas seperti menyalin dan menampal.
Gabungan kecurian data clipper dan pelayar menjadikan XCSSET a Ancaman praktikal kepada penjenayah siber tertumpu pada aset cryptoMereka boleh mendapatkan kuki sesi, kata laluan yang disimpan dan juga mengubah hala urus niaga tanpa menyentuh baki kelihatan mangsa sehingga sudah terlambat.
Taktik lain untuk kegigihan dan penyamaran
Sebagai tambahan kepada "zshrc" dan "dok," Microsoft menerangkan bahawa varian ini menambah Masukan LaunchDaemon yang melaksanakan muatan dalam ~/.rootMekanisme ini memastikan permulaan yang awal dan stabil serta menyamarkan dirinya di antara kekusutan perkhidmatan sistem yang dimuatkan di latar belakang.
Penciptaan a juga telah diperhatikan Spoofed System Settings.app dalam /tmp, yang membolehkan perisian hasad menyamarkan aktivitinya di bawah samaran apl sistem yang sah. Penyamaran jenis ini membantu mengelakkan syak wasangka apabila memeriksa proses atau laluan semasa pelaksanaan rawak.
Secara selari, kerja pengeliruan XCSSET kembali menjadi perhatian: Penyulitan yang lebih canggih, nama modul rawak dan AppleScripts yang dijalankan sahajaSegala-galanya menunjukkan kepada memanjangkan jangka hayat kempen sebelum ia dinetralkan oleh tandatangan dan peraturan pengesanan.
Keupayaan sejarah: di luar penyemak imbas
Mengimbas kembali, XCSSET bukan sahaja terhad kepada mengosongkan pelayar. Keupayaannya untuk mengekstrak data daripada aplikasi seperti Google Chrome, Opera, Telegram, Evernote, Skype, WeChat dan aplikasi Apple sendiri seperti Kenalan dan NotaIaitu, pelbagai sumber yang merangkumi pemesejan, produktiviti dan data peribadi.
Pada tahun 2021, laporan seperti Jamf menerangkan cara XCSSET dieksploitasi CVE-2021-30713, pintasan rangka kerja TCC, untuk minum tangkapan skrin desktop tanpa meminta izin. Kemahiran ini sesuai dengan objektif yang jelas: mengintip dan mengumpul bahan sensitif dengan geseran minimum untuk pengguna.
Lama kelamaan, perisian hasad telah dilaraskan kepada keserasian macOS Monterey dan dengan cip M1, sesuatu yang menggariskannya kesinambungan dan penyelenggaraan oleh penyerangSehingga hari ini, punca sebenar operasi itu masih tidak jelas.
Bagaimana ia menyelinap ke dalam projek Xcode
Pengagihan XCSSET tidak diperincikan kepada milimeter, tetapi semuanya menunjukkan itu Manfaatkan perkongsian projek Xcode antara pembangunJika repositori atau pakej sudah terjejas, sebarang binaan seterusnya mengaktifkan kod hasad.
Corak ini menjadikan pasukan pembangunan vektor penyebaran istimewa, terutamanya dalam persekitaran dengan amalan semakan pergantungan yang longgar, binaan skrip atau templat dikongsi. Ia adalah peringatan bahawa rantaian bekalan perisian telah menjadi objektif berulang.
Memandangkan senario ini, masuk akal bahawa varian baharu diperkukuh logik untuk memutuskan tempat untuk memasukkan muatan dalam projekLebih "semula jadi" lokasi anda dipaparkan, semakin kecil kemungkinan pembangun akan melihatnya dalam imbasan pantas.
Ergonomik serangan: ralat, peringkat dan tanda
Microsoft telah pun mengumumkan penambahbaikan kepada XCSSET awal tahun ini. pengurusan ralat dan kegigihan. Perkara penting ialah ia kini sesuai dengan rantaian jangkitan langkah demi langkah: AppleScript yang melancarkan arahan shell, yang memuat turun AppleScript terakhir yang lain, yang seterusnya mengumpulkan maklumat sistem dan melancarkan submodul.
Jika anda sedang mencari tanda-tanda, kehadiran ~/.zshrc_aliases, manipulasi dalam ~/.zshrc, entri yang mencurigakan dalam LaunchDaemons, atau System Settings.app yang pelik dalam /tmp Ini adalah penunjuk yang perlu diberi perhatian. Sebarang aktiviti anomali dalam Dok (cth., laluan Launchpad yang diganti) juga harus mencetuskan penggera.
Dalam persekitaran terurus, SOC harus menentukur peraturan yang dijalankan Osaskrip yang luar biasa, panggilan berulang ke dockutil, dan artifak yang dikodkan atau disulitkan Base64 dipautkan kepada proses binaan Xcode dan gunakan alatan untuk lihat proses yang sedang berjalan pada macOS. Konteks kompilasi adalah kunci untuk mengurangkan positif palsu.
Siapa yang disasarkan oleh XCSSET?
Fokus semula jadi ialah mereka yang membangun atau menyusun dengan Xcode, tetapi kesannya boleh meluas kepada pengguna yang pasang aplikasi terbina dalam daripada projek tercemar. Bahagian kewangan muncul dalam rampasan papan keratan, terutamanya relevan bagi mereka yang mengendalikan mata wang kripto dengan kerap.
Dalam bidang data, exfiltration daripada Firefox dan aplikasi lain meletakkan kelayakan, kuki sesi dan nota peribadi pada risiko. Tambahkan pada ini keupayaan warisan tangkapan skrin, penyulitan fail dan nota tebusan, gambar lebih lengkap.
Serangan yang dikesan setakat ini nampaknya terhad dalam skop, tetapi seperti yang sering berlaku, skala sebenar kempen mungkin mengambil masa untuk muncul. Modulariti memudahkan lelaran pantas, perubahan nama, dan penalaan halus untuk mengelakkan pengesanan.
Cadangan praktikal untuk mengurangkan risiko
Pertama, kemas kini disiplin: Pastikan macOS dan apl terkini dan pertimbangkan penyelesaian antimalware. XCSSET telah pun mengeksploitasi kelemahan, termasuk kelemahan hari sifar, jadi menaik taraf kepada versi terkini mengurangkan permukaan serangan dengan ketara.
Kedua, periksa projek Xcode yang anda muat turun atau klon daripada repositori, dan berhati-hati dengan perkara yang anda susun. Semak skrip binaan, Jalankan Fasa Skrip, kebergantungan dan sebarang fail yang dilaksanakan dalam proses binaan.
Ketiga, berhati-hati dengan papan keratan. Elakkan menyalin/menampal alamat dompet yang tidak disahkan: Semak semula aksara pertama dan terakhir sebelum mengesahkan transaksi. Ia adalah isyarat kecil yang boleh menjimatkan banyak masalah.
Keempat, telemetri dan memburu. Memantau osaskrip, dockutil, perubahan kepada ~/.zshrc dan LaunchDaemonsJika anda mengurus armada, masukkan peraturan EDR yang mengesan AppleScripts yang disusun luar biasa atau muat naik berkod berulang dalam proses binaan.
Penulis yang bersemangat tentang dunia bait dan teknologi secara umum. Saya suka berkongsi pengetahuan saya melalui penulisan, dan itulah yang akan saya lakukan dalam blog ini, menunjukkan kepada anda semua perkara yang paling menarik tentang alat, perisian, perkakasan, trend teknologi dan banyak lagi. Matlamat saya adalah untuk membantu anda mengemudi dunia digital dengan cara yang mudah dan menghiburkan.