XCSSET op macOS: hoe de nieuwe variant werkt en hoe u zich ertegen kunt verdedigen

De familie van malware XCSSET voor macOS is terug met een verbeterde variant, en dat is geen kleine prestatie: Microsoft Threat Intelligence heeft aanzienlijke wijzigingen in verduisterings-, persistentie- en gegevensdiefstaltechnieken geïdentificeerd. die de lat hoger leggen voor deze oude bekende. Als je met Xcode werkt of projecten tussen teams deelt, wil je op de hoogte blijven van wat er gebeurt.

Sinds de ontdekking in 2020 heeft XCSSET zich aangepast aan veranderingen in het Apple-ecosysteem. Wat nu wordt waargenomen, is de eerste openbaar gedocumenteerde nieuwe variant sinds 2022., gedetecteerd in beperkte aanvallen, maar met uitgebreide mogelijkheden. Dit is een modulaire malware die Xcode-projecten binnensluipt om zijn payload uit te voeren wanneer deze worden gecompileerd. In deze versie gebruikt het sluwere tactieken om zichzelf te camoufleren en te blijven bestaan.

Wat is XCSSET en waarom verspreidt het zich zo goed?

In essentie is XCSSET een reeks kwaadaardige modules die zijn ontworpen om Xcode-projecten infecteren en hun functies activeren tijdens de buildDe meest plausibele verspreidingsvector is het delen van projectbestanden tussen samenwerkende ontwikkelaars. apps voor macOS, waardoor de uitvoeringsmogelijkheden in elke build worden vermenigvuldigd.

Deze malware is in het verleden in staat gebleken zero-day-kwetsbaarheden te misbruiken, injecteer code in projecten en introduceer zelfs achterdeurtjes in componenten van het Apple-ecosysteem, zoals SafariGedurende de ontwikkeling is er ook compatibiliteit toegevoegd met nieuwere versies van macOS en Apple Silicon (M1)-architecturen, wat blijk geeft van een opmerkelijke aanpasbaarheid.

Op de grond werkt XCSSET als dief van informatie en criptomonedas: kan gegevens verzamelen uit populaire programma's (Evernote, Notes, Skype, Telegram, QQ, WeChat en meer), systeem- en applicatiebestanden exfiltreren en specifiek digitale wallets targeten. Bovendien hebben sommige varianten aangetoond Ongeautoriseerde schermafbeeldingen, bestandsversleuteling en het plaatsen van losgeldnotities.

Wat is er nieuw in de nieuwste variant?

Microsoft heeft gedetailleerd dat de nieuwste variant Nieuwe methoden voor verduistering, persistentie en infectiestrategieënWe hebben het niet langer alleen over naamswijzigingen of codecompressie: er is nu meer willekeur in de manier waarop de payloads worden gegenereerd om Xcode-projecten te besmetten.

Een opvallende verandering is het gecombineerde gebruik van codeertechnieken. Waar eerdere iteraties uitsluitend op xxd (hexdump) vertrouwden, De nieuwe versie voegt Base64 toe en past een willekeurig aantal iteraties toewaardoor het moeilijker wordt om de lading te identificeren en te ontwarren.

Ook de interne namen van de modules zijn meer dan ooit verborgen: Ze zijn op codeniveau verduisterd om hun doel te verbergenDit maakt de statische analyse en de correlatie tussen functies en waarneembare effecten in het systeem ingewikkelder.

Persistentie: methoden “zshrc” en “dock”

Een van de kenmerken van de terugkeer van XCSSET zijn de twee totaal verschillende manieren om in leven te blijven na een infectie. De “zshrc”-methode maakt gebruik van de shell-configuratie om automatisch in elke sessie te draaienen de “dock”-methode manipuleert systeemsnelkoppelingen om de schadelijke payload op transparante wijze voor de gebruiker uit te voeren.

Bij de ‘zshrc’-aanpak creëert de malware een bestand met de naam ~/.zshrc_aliases met de payload en voegt vervolgens een commando toe aan ~/.zshrc dat ervoor zorgt dat het bestand elke keer dat een nieuwe sessie wordt geopend, wordt geladen. Dit zorgt voor persistentie op alle terminals zonder dat er argwaan ontstaat.

Het ‘dock’-plan houdt in dat een ondertekende tool wordt gedownload van de command-and-control-server, dockutil, om Dock-elementen te beherenVervolgens wordt een nep-Launchpad-app aangemaakt en wordt het pad naar de legitieme Launchpad in het Dock vervangen door die nep-app. Resultaat: elke keer dat de gebruiker Launchpad vanuit het Dock start, wordt de echte Launchpad geopend en tegelijkertijd de kwaadaardige payload is geactiveerd.

Als versterking introduceert de variant Nieuwe criteria voor het bepalen waar in het Xcode-project de payload moet worden ingevoegdHiermee wordt de impact geoptimaliseerd en de kans verkleind dat de ontwikkelaar bij het bekijken van de projectboom iets ongewoons opmerkt.

AppleScript, stealth-uitvoering en infectieketen

Uit onderzoek van Microsoft blijkt dat XCSSET gebruikmaakt van AppleScripts gecompileerd in de alleen-uitvoeren-modus om stil te draaien en te voorkomen dat directe analyse de inhoud onthult. Deze techniek past bij het doel van onzichtbaarheid en het ontwijken van script-inspectietools.

In de vierde fase van de infectieketen wordt waargenomen dat Een AppleScript-applicatie voert een shell-opdracht uit om de laatste fase te downloadenDit laatste AppleScript verzamelt informatie van het gecompromitteerde systeem en start submodules op door de functie boot() aan te roepen, die de modulaire implementatie van mogelijkheden orkestreert.

Er zijn ook logische wijzigingen gedetecteerd: Extra controles voor de Firefox-browser en een andere methode om de aanwezigheid van de Telegram-berichtenapp te bevestigen. Dit zijn geen kleine details; ze wijzen op een duidelijke intentie om de dataverzameling betrouwbaarder te maken en de reikwijdte ervan uit te breiden.

Hernoemde modules en nieuwe onderdelen

Bij elke revisie wijzigde de XCSSET-familie de namen van haar modules lichtjes, een klassiek kat-en-muisspel om het moeilijk maken om versies en handtekeningen bij te houdenToch blijft de functionaliteit over het algemeen consistent.

Onder de gemarkeerde modules van deze variant verschijnen identificatiegegevens zoals vexyeqj (voorheen seizecj), die download een andere module genaamd bnk en voert het uit met behulp van osascript. Dit script voegt gegevensvalidatie, encryptie, decryptie, het ophalen van aanvullende inhoud van C2 en gebeurtenisregistratiemogelijkheden toe en bevat het "clipper"-component.

Er wordt ook vermeld neq_cdyd_ilvcmwx, vergelijkbaar met txzx_vostfdi, dat verantwoordelijk is voor bestanden exfiltreren naar de command-and-control-server; de module xmyyeqjx die de Op LaunchDaemon gebaseerde persistentie; joh (voorheen jez) die een persistentie via GitEn iewmilh_cdyd, verantwoordelijk voor het stelen van gegevens uit Firefox met behulp van een aangepaste versie van de openbare HackBrowserData-tool.

• vexyeqj: informatiemodule; downloaden en gebruiken BNK, integreert clipper en encryptie.
• neq_cdyd_ilvcmwx: exfiltratie van bestanden naar C2.
• xmyyeqjx: persistentie door LaunchDaemon.
• joh: persistentie via Git.
• iewmilh_cdyd: Firefox-gegevensdiefstal met aangepaste HackBrowserData.

De focus op Firefox is vooral relevant, omdat breidt bereik uit buiten Chromium en SafariDit betekent dat het aantal potentiële slachtoffers toeneemt en dat technieken voor het extraheren van inloggegevens en cookies worden verfijnd voor meerdere browsers.

Diefstal van cryptovaluta door middel van klembordkaping

Een van de mogelijkheden die in deze evolutie het meest van belang is, is de ‘clipper’-module. Controleert het klembord op reguliere expressies die overeenkomen met cryptocurrency-adressen (verschillende wallet-formaten). Zodra er een match wordt gedetecteerd, wordt het adres onmiddellijk vervangen door een adres dat door de aanvaller wordt beheerd.

Voor deze aanval zijn geen hogere privileges nodig om schade aan te richten: Het slachtoffer kopieert zijn adres uit zijn portemonnee, plakt het om geld te versturen en maakt het onbewust over naar de aanvallerZoals het Microsoft-team aangaf, ondermijnt dit het vertrouwen in iets zo fundamenteels als kopiëren en plakken.

De combinatie van clipper en browsergegevensdiefstal maakt XCSSET een Een praktische bedreiging voor cybercriminelen die zich richten op crypto-activaZe kunnen sessiecookies en opgeslagen wachtwoorden verkrijgen en zelfs transacties omleiden zonder het zichtbare saldo van het slachtoffer aan te tasten, tot het te laat is.

Andere tactieken van volharding en camouflage

Naast “zshrc” en “dock” beschrijft Microsoft dat deze variant LaunchDaemon-items die een payload uitvoeren in ~/.rootDit mechanisme zorgt voor een snelle en stabiele opstart en camoufleert zichzelf in de wirwar van systeemdiensten die op de achtergrond worden geladen.

De creatie van een is ook waargenomen Vervalste systeeminstellingen.app in /tmp, waarmee malware zijn activiteit kan vermommen als een legitieme systeem-app. Dit type imitatie helpt argwaan te voorkomen bij het inspecteren van processen of paden tijdens willekeurige uitvoering.

Tegelijkertijd staat het verduisteringswerk van XCSSET weer in de schijnwerpers: Geavanceerdere encryptie, willekeurige modulenamen en alleen-uitvoerbare AppleScriptsAlles wijst erop dat de levensduur van de campagne moet worden verlengd voordat deze wordt geneutraliseerd door handtekeningen en detectieregels.

Historische mogelijkheden: verder dan de browser

Terugkijkend is XCSSET niet alleen beperkt gebleven tot het leegmaken van browsers. De mogelijkheid om gegevens uit apps halen zoals Google Chrome, Opera, Telegram, Evernote, Skype, WeChat en Apple's eigen applicaties zoals Contacten en notitiesDat wil zeggen, een scala aan bronnen, waaronder berichten, productiviteit en persoonlijke gegevens.

In 2021 beschreven rapporten zoals die van Jamf hoe XCSSET misbruik maakte CVE-2021-30713, een TCC-framework-bypass, drinken bureaubladschermafbeeldingen zonder toestemming te vragen. Deze vaardigheid past bij een duidelijk doel: spioneren en verzamelen van gevoelig materiaal met minimale wrijving voor de gebruiker.

In de loop van de tijd werd de malware aangepast om macOS Monterey-compatibiliteit en met de M1-chips, iets dat zijn waarde onderstreept continuïteit en onderhoud door de aanvallersDe exacte oorsprong van de operatie is tot op heden onduidelijk.

Hoe het in Xcode-projecten sluipt

De distributie van XCSSET is niet tot op de millimeter gedetailleerd, maar alles wijst erop dat Profiteer van het delen van Xcode-projecten tussen ontwikkelaarsAls een repository of pakket al is gecompromitteerd, activeert elke volgende build de schadelijke code.

Dit patroon verandert ontwikkelteams in bevoorrechte voortplantingsvectoren, vooral in omgevingen met lakse afhankelijkheidscontrolepraktijken, buildscripts of gedeelde sjablonen. Het is een herinnering dat de software-toeleveringsketen is een terugkerend doelwit geworden.

Gezien dit scenario is het logisch dat de nieuwe variant de de logica voor het bepalen waar payloads binnen het project moeten worden ingevoegdHoe ‘natuurlijker’ uw locatie overkomt, hoe kleiner de kans dat een ontwikkelaar deze snel zal opmerken.

Aanvalsergonomie: fouten, fasen en signalen

Microsoft had eerder dit jaar al verbeteringen voor XCSSET aangekondigd. foutbeheer en persistentieHet belangrijkste is dat het nu in een stapsgewijze infectieketen past: een AppleScript dat een shell-opdracht start, die een andere laatste AppleScript downloadt, die op zijn beurt verzamelt systeeminformatie en start submodules.

Als u op zoek bent naar tekenen, is de aanwezigheid van ~/.zshrc_aliases, manipulaties in ~/.zshrc, verdachte vermeldingen in LaunchDaemons of een vreemde System Settings.app in /tmp Dit zijn indicatoren waar u op moet letten. Afwijkende activiteiten in het Dock (bijvoorbeeld vervangende Launchpad-paden) zouden ook alarmen moeten activeren.

In beheerde omgevingen moeten SOC's regels kalibreren die Ongebruikelijke osascript, herhaalde aanroepen van dockutil en Base64-gecodeerde of gecodeerde artefacten gekoppeld aan Xcode-bouwprocessen en gebruik hulpmiddelen om Bekijk lopende processen op macOSDe context van de compilatie is essentieel voor het verminderen van foutpositieve resultaten.

Op wie richt XCSSET zich?

De natuurlijke focus ligt op degenen die met Xcode ontwikkelen of compileren, maar de impact kan zich uitstrekken tot gebruikers die ingebouwde apps installeren van vervuilde projecten. Het financiële stuk verschijnt in de klembord kaping, vooral relevant voor mensen die regelmatig met cryptovaluta omgaan.

Op het gebied van data is de exfiltratie van Firefox en andere apps brengt inloggegevens, sessiecookies en persoonlijke notities in gevaar. Voeg daarbij de verouderde mogelijkheden van screenshots, bestandsversleuteling en losgeldberichten, dan is het plaatje meer dan compleet.

De tot nu toe gedetecteerde aanvallen lijken beperkt in omvang, maar zoals vaak het geval is, kan het even duren voordat de ware omvang van de campagne duidelijk wordt. Modulariteit maakt snelle iteraties, naamswijzigingen en fijnafstemming om detectie te voorkomen.

Praktische aanbevelingen om risico's te verminderen

Werk eerst de discipline bij: Houd macOS en apps up-to-date en overweeg antimalware-oplossingenXCSSET heeft al misbruik gemaakt van kwetsbaarheden, waaronder zero-day kwetsbaarheden. Door te upgraden naar de nieuwste versie wordt het aanvalsoppervlak aanzienlijk verkleind.

ten tweede, Xcode-projecten inspecteren die u downloadt of kloont van repositories, en wees uiterst voorzichtig met wat u compileert. Bekijk buildscripts, Scriptfasen uitvoeren, afhankelijkheden en alle bestanden die tijdens het bouwproces worden uitgevoerd.

Ten derde, wees voorzichtig met het klembord. Vermijd het kopiëren/plakken van niet-geverifieerde portemonnee-adressenControleer de eerste en laatste tekens nogmaals voordat u transacties bevestigt. Het is een klein gebaar dat u veel moeite kan besparen.

Ten vierde: telemetrie en jacht. Monitort osascript, dockutil, wijzigingen in ~/.zshrc en LaunchDaemonsAls u vloten beheert, kunt u EDR-regels opnemen die ongebruikelijke gecompileerde AppleScripts of herhaaldelijke gecodeerde uploads in bouwprocessen detecteren.