- Ny variant av XCSSET med avansert obfuskering og multippel persistens (zshrc, Dock og LaunchDaemon).
- Utvider datatyveri til Firefox og legger til clipper for å avlede kryptotransaksjoner fra utklippstavlen.
- Infeksjon av delte Xcode-prosjekter: AppleScripts som bare kjøres, omdøpte moduler og C2-eksfiltrering.
- Anbefalinger: Oppdater macOS, revider prosjekter før bygging, og overvåk osascript/dockutil.
Familien til malware XCSSET for macOS er tilbake med en forbedret variant, og det er ingen liten bragd: Microsoft Threat Intelligence har identifisert betydelige endringer i teknikker for obfuskering, persistens og datatyveri. som hever standarden for denne gamle kjenningen. Hvis du jobber med Xcode eller deler prosjekter mellom team, vil du holde deg oppdatert på hva som skjer.
Siden oppdagelsen i 2020 har XCSSET tilpasset seg endringer i Apples økosystem. Det som nå observeres er den første offentlig dokumenterte nye varianten siden 2022., oppdaget i begrensede angrep, men med utvidede muligheter. Dette er en modulær skadelig programvare som sniker seg inn i Xcode-prosjekter for å kjøre nyttelasten sin når de kompileres, og i denne iterasjonen bruker den mer utspekulerte taktikker for å kamuflere seg selv og vedvare.
Hva er XCSSET og hvorfor sprer det seg så bra?
I hovedsak er XCSSET et sett med ondsinnede moduler designet for å infisere Xcode-prosjekter og aktivere funksjonene deres under byggingenDen mest plausible forplantningsvektoren er deling av prosjektfiler mellom samarbeidende utviklere. apps for macOS, som multipliserer utførelsesmulighetene i hver versjon.
Denne skadelige programvaren har historisk sett vært i stand til å utnytte nulldagssårbarheter, injisere kode i prosjekter og til og med introdusere bakdører i komponenter i Apple-økosystemet, som SafariGjennom utviklingen har den også lagt til kompatibilitet med nyere versjoner av macOS og Apple Silicon (M1)-arkitekturer, noe som viser en bemerkelsesverdig tilpasningsevne.
På bakken fungerer XCSSET som informasjonstyv og kryptovalutakan samle inn data fra populære programmer (Evernote, Notes, Skype, Telegram, QQ, WeChat og mer), eksfiltrere system- og applikasjonsfiler, og spesifikt målrette digitale lommebøker. I tillegg har noen varianter vist seg Uautoriserte skjermbilder, filkryptering og utplassering av løsepengebrev.
Hva er nytt i den nyeste varianten
Microsoft har detaljert at den nyeste varianten inneholder Nye metoder for obfuskasjon, persistens og infeksjonsstrategierVi snakker ikke lenger bare om navnebytte eller kodekomprimering: det er nå mer tilfeldighet i måten den genererer nyttelastene sine på for å forurense Xcode-prosjekter.
En slående endring er den kombinerte bruken av kodeteknikker. Mens tidligere iterasjoner utelukkende var avhengige av xxd (hexdump), Den nye versjonen legger til Base64 og bruker et tilfeldig antall iterasjoner., noe som gjør det vanskeligere å identifisere og nøste opp lasten.
De interne navnene på modulene er også mer skjult enn noensinne: De er tilslørt på kodenivå for å skjule formålet sitt.Dette kompliserer statisk analyse og korrelasjonen mellom funksjoner og observerbare effekter i systemet.
Persistens: metodene «zshrc» og «dock»
Et av kjennetegnene ved denne tilbakekomsten av XCSSET er to svært forskjellige veier å holde seg i live etter infeksjon. «Zshrc»-metoden utnytter skallkonfigurasjonen til å kjøre automatisk i hver økt, og «dokk»-metoden manipulerer systemsnarveier for å kjøre den ondsinnede nyttelasten transparent for brukeren.
I «zshrc»-tilnærmingen oppretter skadevaren en fil som heter ~/.zshrc_aliaser med nyttelasten og legger deretter til en kommando i ~/.zshrc som sørger for at filen lastes inn hver gang en ny økt åpnes. Dette sikrer persistens på tvers av alle terminaler uten å gi noen åpenbare mistanker.
«Dokk»-planen innebærer å laste ned et signert verktøy fra kommando- og kontrollserveren, dockutil, for å administrere Dock-elementerDeretter oppretter den en falsk Launchpad-app og erstatter banen til den legitime Launchpad-en i Dock med den falske appen. Resultat: hver gang brukeren starter Launchpad fra Dock, åpnes den ekte appen, og parallelt, den ondsinnede nyttelasten er aktivert.
Som en forsterkning introduserer varianten Nye kriterier for å bestemme hvor i Xcode-prosjektet nyttelasten skal settes innDette optimaliserer effekten og minimerer sjansene for at utvikleren oppdager noe uvanlig når de gjennomgår prosjekttreet.
AppleScript, skjult utførelse og infeksjonskjede
Microsoft-forskning beskriver at XCSSET bruker AppleScripts kompilert i kjøremodus å kjøre stille og forhindre at direkte analyse avslører innholdet. Denne teknikken passer med målet om usynlighet og å unngå skriptinspeksjonsverktøy.
I den fjerde fasen av infeksjonskjeden observeres det at Et AppleScript-program kjører en shell-kommando for å laste ned det siste trinnetDenne siste AppleScript-en samler informasjon fra det kompromitterte systemet og starter opp undermoduler ved å kalle boot()-funksjonen, som orkestrerer den modulære utrullingen av funksjoner.
Logiske endringer er også oppdaget: Ytterligere kontroller for Firefox-nettleseren og en annen metode for å bekrefte tilstedeværelsen av Telegram-meldingsappen. Dette er ikke små detaljer; de indikerer en klar intensjon om å gjøre datainnsamlingen mer pålitelig og utvide omfanget.
Omdøpte moduler og nye deler
Med hver revisjon endret XCSSET-familien navnene på modulene sine litt, et klassisk katt-og-mus-spill for å gjøre det vanskelig å spore versjoner og signaturerLikevel forblir funksjonaliteten generelt konsistent.
Blant de uthevede modulene i denne varianten vises identifikatorer som vexyeqj (tidligere seizecj), som last ned en annen modul som heter bnk og kjører den ved hjelp av osascript. Dette script legger til datavalidering, kryptering, dekryptering, henting av tilleggsinnhold fra C2 og hendelsesloggingsfunksjoner, og inkluderer «clipper»-komponenten.
Det er også nevnt neq_cdyd_ilvcmwx, lik txzx_vostfdi, som er ansvarlig for eksfiltrere filer til kommando- og kontrollserverenmodulen xmyyeqjx som forbereder LaunchDaemon-basert persistens; Hei (tidligere jez) som konfigurerer en utholdenhet via Git, Og iewmilh_cdyd, ansvarlig for å stjele data fra Firefox ved hjelp av en modifisert versjon av det offentlige HackBrowserData-verktøyet.
- vexyeqjinformasjonsmodul; nedlasting og bruk BNK, integrerer clipper og kryptering.
- neq_cdyd_ilvcmwx: eksfiltrering av filer til C2.
- xmyyeqjx: utholdenhet av LaunchDaemon.
- Hei: utholdenhet gjennom Git.
- iewmilh_cdydFirefox-datatyveri med modifiserte HackBrowserData.
Fokuset på Firefox er spesielt relevant, fordi utvider rekkevidden utover Chromium og SafariDette betyr at antallet potensielle ofre øker, og teknikker for utvinning av påloggingsinformasjon og informasjonskapsler forbedres for flere nettlesermotorer.
Kryptovalutatyveri ved bruk av kapring av utklippstavler
En av de funksjonene som er mest bekymringsfulle i denne utviklingen er «klipper»-modulen. Overvåker utklippstavlen for regulære uttrykk som samsvarer med kryptovalutaadresser (forskjellige lommebokformater). Så snart den oppdager et samsvar, erstatter den umiddelbart adressen med en som kontrolleres av angriperen.
Dette angrepet krever ikke utvidede rettigheter for å skape kaos: Offeret kopierer adressen sin fra lommeboken, limer den inn for å sende penger og overfører den uvitende til angriperen.Som Microsoft-teamet påpekte, svekker dette tilliten til noe så grunnleggende som å kopiere og lime inn.
Kombinasjonen av clipper og tyveri av nettleserdata gjør XCSSET til en En praktisk trussel mot nettkriminelle fokusert på kryptoaktivaDe kan hente øktinformasjonskapsler, lagrede passord og til og med omdirigere transaksjoner uten å berøre offerets synlige saldo før det er for sent.
Andre taktikker for utholdenhet og kamuflasje
I tillegg til «zshrc» og «dock» beskriver Microsoft at denne varianten legger til LaunchDaemon-oppføringer som kjører en nyttelast i ~/.rootDenne mekanismen sikrer en tidlig og stabil oppstart og kamuflerer seg blant virvaret av systemtjenester som lastes inn i bakgrunnen.
Det har også blitt observert oppretting av en Forfalsket systeminnstillinger.app i /tmp, som lar skadelig programvare skjule aktiviteten sin under dekke av en legitim systemapp. Denne typen etterligning bidrar til å unngå mistanke når man inspiserer prosesser eller stier under tilfeldig utførelse.
Parallelt er XCSSETs forvirringsarbeid tilbake i søkelyset: Mer sofistikert kryptering, tilfeldige modulnavn og AppleScripts som bare kjøresAlt peker mot å forlenge kampanjens levetid før den nøytraliseres av signaturer og deteksjonsregler.
Historiske funksjoner: utover nettleseren
Når jeg ser tilbake, har ikke XCSSET bare vært begrenset til å tømme nettlesere. Dens evne til å hente ut data fra apper som Google Chrome, Opera, Telegram, Evernote, Skype, WeChat og Apples egne applikasjoner som f.eks. Kontakter og notaterDet vil si en rekke kilder som inkluderer meldinger, produktivitet og personopplysninger.
I 2021 beskrev rapporter som Jamfs hvordan XCSSET utnyttet CVE-2021-30713, en omgåelse av TCC-rammeverket, å drikke skjermbilder på skrivebordet uten å be om tillatelse. Denne ferdigheten passer med et klart mål: spionere og samle sensitivt materiale med minimal friksjon for brukeren.
Over tid ble skadevaren justert til macOS Monterey-kompatibilitet og med M1-brikkene, noe som understreker dens kontinuitet og vedlikehold fra angriperneDen nøyaktige opprinnelsen til operasjonen er fortsatt uklar.
Hvordan det sniker seg inn i Xcode-prosjekter
Fordelingen av XCSSET er ikke detaljert på millimeternivå, men alt tyder på det. Dra nytte av Xcode-prosjektdeling mellom utviklereHvis et depot eller en pakke allerede er kompromittert, aktiverer enhver påfølgende versjon den skadelige koden.
Dette mønsteret gjør utviklingsteam til privilegerte forplantningsvektorer, spesielt i miljøer med slappe avhengighetskontrollpraksiser, byggeskript eller delte maler. Det er en påminnelse om at programvareforsyningskjede har blitt et tilbakevendende mål.
Gitt dette scenariet er det fornuftig at den nye varianten forsterker logikken for å bestemme hvor nyttelaster skal settes inn i prosjektetJo mer «naturlig» plasseringen din fremstår, desto mindre sannsynlig er det at en utvikler vil oppdage den i en hurtigskanning.
Angrepsergonomi: feil, stadier og tegn
Microsoft hadde allerede annonsert forbedringer av XCSSET tidligere i år. feilhåndtering og utholdenhetDet viktigste er at den nå passer inn i en trinnvis infeksjonskjede: et AppleScript som starter en shell-kommando, som laster ned et nytt AppleScript, som igjen samler systeminformasjon og starter undermoduler.
Hvis du ser etter tegn, tilstedeværelsen av ~/.zshrc_aliaser, manipulasjoner i ~/.zshrc, mistenkelige oppføringer i LaunchDaemons, eller en merkelig System Settings.app i /tmp Dette er indikatorer å se opp for. Enhver unormal aktivitet i Dock (f.eks. erstattede Launchpad-stier) bør også utløse alarmer.
I administrerte miljøer bør SOC-er kalibrere regler som forfølger Uvanlig osascript, gjentatte kall til dockutil og Base64-kodede eller krypterte artefakter knyttet til Xcode-byggeprosesser og bruke verktøy til se kjørende prosesser på macOSKonteksten for sammenstillingen er nøkkelen til å redusere falske positiver.
Hvem er XCSSET rettet mot?
Det naturlige fokuset er de som utvikler eller kompilerer med Xcode, men virkningen kan strekke seg til brukere som installere innebygde apper fra forurensede prosjekter. Den økonomiske delen vises i kapring av utklippstavlen, spesielt relevant for de som håndterer kryptovalutaer regelmessig.
Innen datasfæren, den eksfiltrering fra Firefox og andre apper setter påloggingsinformasjonskapsler, informasjonskapsler for økter og personlige notater i fare. Legg til dette de eldre funksjonene til skjermbilder, filkryptering og løsepengemeldinger, bildet er mer enn komplett.
Angrepene som er oppdaget så langt ser ut til å begrenset i omfang, men som ofte er tilfelle, kan det ta tid før kampanjens virkelige omfang viser seg. Modularitet muliggjør raske iterasjoner, navneendringer og finjustering for å unngå deteksjon.
Praktiske anbefalinger for å redusere risiko
Først, oppdater disiplinen: Hold macOS og apper oppdatert og vurdere løsninger for beskyttelse mot skadelig programvareXCSSET har allerede utnyttet sårbarheter, inkludert nulldagssårbarheter, så oppgradering til nyeste versjon reduserer angrepsflaten betydelig.
For det andre, inspiser Xcode-prosjekter som du laster ned eller kloner fra repositorier, og vær ekstremt forsiktig med hva du kompilerer. Se gjennom byggeskript, Kjør skriptfaser, avhengigheter og eventuelle filer som kjøres i byggeprosessen.
For det tredje, vær forsiktig med utklippstavlen. Unngå å kopiere/lime inn ubekreftede lommebokadresserDobbeltsjekk det første og siste tegnet før du bekrefter transaksjoner. Det er en liten gest som kan spare deg for mye bryderi.
For det fjerde, telemetri og jakt. Overvåker osascript, dockutil, endringer i ~/.zshrc og LaunchDaemonsHvis du administrerer flåter, bør du innlemme EDR-regler som oppdager uvanlige kompilerte AppleScript-skript eller gjentatte kodede opplastinger i byggeprosesser.
Lidenskapelig forfatter om verden av bytes og teknologi generelt. Jeg elsker å dele kunnskapen min gjennom å skrive, og det er det jeg skal gjøre i denne bloggen, vise deg alle de mest interessante tingene om dingser, programvare, maskinvare, teknologiske trender og mer. Målet mitt er å hjelpe deg med å navigere i den digitale verden på en enkel og underholdende måte.