XCSSET pe macOS: Cum funcționează noua sa variantă și cum să te aperi

Familia din malware XCSSET pentru macOS a revenit cu o variantă îmbunătățită, și nu este o realizare ușoară: Microsoft Threat Intelligence a identificat modificări semnificative în tehnicile de ofuscare, persistență și furt de date. care ridică ștacheta pentru această veche cunoștință. Dacă lucrați cu Xcode sau partajați proiecte între echipe, veți dori să fiți la curent cu ce se întâmplă.

De la descoperirea sa în 2020, XCSSET s-a adaptat la schimbările din ecosistemul Apple. Ceea ce se observă acum este prima variantă nouă documentată public din 2022 încoace., detectat în atacuri limitate, dar cu capabilități extinse. Acesta este un malware modular care se strecoară în proiectele Xcode pentru a-și executa sarcina utilă atunci când sunt compilate și, în această iterație, încorporează tactici mai viclene pentru a se camufla și a persista.

Ce este XCSSET și de ce se răspândește atât de bine?

În esență, XCSSET este un set de module malițioase concepute pentru a infectarea proiectelor Xcode și activarea funcțiilor acestora în timpul construiriiCel mai plauzibil vector de propagare este partajarea fișierelor de proiect între dezvoltatorii colaboratori. Apps pentru macOS, ceea ce multiplică oportunitățile de execuție în fiecare compilare.

Acest malware a fost capabil din punct de vedere istoric să exploateze vulnerabilități zero-day, injectează cod în proiecte și chiar introduc backdoor-uri în componentele ecosistemului Apple, cum ar fi SafariDe-a lungul evoluției sale, a adăugat și compatibilitate cu versiuni mai noi ale arhitecturilor macOS și Apple Silicon (M1), demonstrând o adaptabilitate remarcabilă.

Pe teren, XCSSET funcționează ca hoț de informații și Criptomonedăeste capabil să colecteze date din programe populare (Evernote, Notes, Skype, Telegram, QQ, WeChat și altele), exfiltrează fișierele de sistem și de aplicație și vizează în mod specific portofelele digitale. În plus, unele variante au demonstrat Capturi de ecran neautorizate, criptare fișiere și implementare de note de răscumpărare.

Ce este nou în cea mai recentă variantă

Microsoft a detaliat că cea mai recentă variantă încorporează Noi metode de ofuscare, persistență și strategii de infectareNu mai vorbim doar despre schimbarea numelor sau compresia codului: acum există mai multă aleatorietate în modul în care își generează sarcinile utile pentru a contamina proiectele Xcode.

O schimbare izbitoare este utilizarea combinată a tehnicilor de codare. În timp ce iterațiile anterioare se bazau exclusiv pe xxd (hexdump), Noua versiune adaugă Base64 și aplică un număr aleatoriu de iterații, ceea ce face mai dificilă identificarea și desfacerea încărcăturii.

Numele interne ale modulelor sunt, de asemenea, mai ascunse ca niciodată: Sunt ofuscate la nivel de cod pentru a le ascunde scopulAcest lucru complică analiza statică și corelația dintre funcții și efectele observabile în sistem.

Persistență: metodele „zshrc” și „dock”

Una dintre caracteristicile acestei reveniri a XCSSET sunt cele două căi foarte diferite de a rămâne în viață după o infecție. Metoda „zshrc” utilizează configurația shell-ului pentru a rula automat în fiecare sesiune....iar metoda „dock” manipulează comenzile rapide de sistem pentru a executa sarcina utilă rău intenționată în mod transparent pentru utilizator.

În abordarea „zshrc”, malware-ul creează un fișier numit ~/.zshrc_aliases cu sarcina utilă și apoi adaugă o comandă la ~/.zshrc care asigură încărcarea fișierului de fiecare dată când se deschide o nouă sesiune. Acest lucru asigură persistența pe toate terminalele fără a ridica suspiciuni evidente.

Planul de „andocare” implică descărcarea unui instrument semnat de pe serverul de comandă și control, dockutil, pentru gestionarea elementelor DockApoi creează o aplicație Launchpad falsă și înlocuiește calea către Launchpad-ul legitim din Dock cu aplicația falsă respectivă. Rezultat: de fiecare dată când utilizatorul lansează Launchpad din Dock, se deschide cea reală și, în paralel, sarcina utilă malițioasă este activată.

Ca o întărire, varianta introduce Noi criterii pentru a decide unde în proiectul Xcode să se insereze sarcina utilăAcest lucru optimizează impactul și minimizează șansele ca dezvoltatorul să observe ceva neobișnuit atunci când revizuiește arborele proiectului.

AppleScript, execuție ascunsă și lanț de infecții

Cercetările Microsoft descriu faptul că XCSSET folosește AppleScripts compilate în modul doar de rulare să ruleze silențios și să împiedice analiza directă să dezvăluie conținutul său. Această tehnică se potrivește cu obiectivul său de invizibilitate și de evitare a instrumentelor de inspectare a scripturilor.

În a patra fază a lanțului de infecție, se observă că O aplicație AppleScript rulează o comandă shell pentru a descărca etapa finalăAcest ultim AppleScript colectează informații din sistemul compromis și pornește submodulele invocând funcția boot(), care orchestrează implementarea modulară a capabilităților.

De asemenea, au fost detectate modificări logice: Verificări suplimentare pentru browserul Firefox și o metodă diferită pentru confirmarea prezenței aplicației de mesagerie Telegram. Acestea nu sunt detalii minore; ele indică o intenție clară de a face colectarea datelor mai fiabilă și de a extinde domeniul de aplicare al acesteia.

Module redenumite și componente noi

Cu fiecare revizie, familia XCSSET modifica ușor numele modulelor sale, un joc clasic de-a șoarecele și pisica pentru a îngreunează urmărirea versiunilor și semnăturilorChiar și așa, funcționalitatea sa rămâne în general consistentă.

Printre modulele evidențiate ale acestei variante apar identificatori precum vexyeqj (fost seizecj), care descărcați un alt modul numit bnk și îl rulează folosind osascript. Aceasta scenariu adaugă validarea datelor, criptarea, decriptarea, preluarea de conținut suplimentar din C2 și funcționalități de înregistrare a evenimentelor și include componenta „clipper”.

Se menționează, de asemenea, neq_cdyd_ilvcmwx, similar cu txzx_vostfdi, care este responsabil pentru exfiltrarea fișierelor către serverul de comandă și controlmodulul xmyyeqjx care pregătește Persistență bazată pe LaunchDaemon; Hei (anterior jez) care configurează un persistență prin Git, Și iewmilh_cdyd, responsabil pentru furtul de date din Firefox folosind o versiune modificată a instrumentului public HackBrowserData.

• vexyeqjmodul de informații; descărcare și utilizare BNK, integrează clipper și criptare.
• neq_cdyd_ilvcmwx: exfiltrarea fișierelor către C2.
• xmyyeqjx: persistență de către LaunchDaemon.
• Heipersistență prin Git.
• iewmilh_cdydFurt de date din Firefox cu HackBrowserData modificat.

Accentul pus pe Firefox este deosebit de relevant, deoarece își extinde acoperirea dincolo de Chromium și SafariAceasta înseamnă că gama de potențiale victime este în creștere, iar tehnicile de extragere a acreditărilor și a cookie-urilor sunt rafinate pentru mai multe motoare de browser.

Furtul de criptomonede folosind deturnarea clipboard-ului

Una dintre capacitățile care prezintă cea mai mare importanță în această evoluție este modulul „clipper”. Monitorizează clipboard-ul pentru expresii regulate care corespund adreselor de criptomonede (diverse formate de portofel). De îndată ce detectează o potrivire, înlocuiește imediat adresa cu una controlată de atacator.

Acest atac nu necesită privilegii ridicate pentru a provoca ravagii: Victima își copiază adresa din portofel, o lipește pentru a trimite fonduri și, fără să știe, o transferă atacatorului.După cum a subliniat echipa Microsoft, acest lucru erodează încrederea în ceva atât de elementar precum copierea și lipirea.

Combinația dintre clipper și furtul de date al browserului face din XCSSET un... O amenințare practică la adresa infractorilor cibernetici concentrată pe activele criptoAceștia pot obține cookie-uri de sesiune, parole salvate și chiar pot redirecționa tranzacțiile fără a atinge soldul vizibil al victimei până când este prea târziu.

Alte tactici de persistență și camuflaj

Pe lângă „zshrc” și „dock”, Microsoft descrie că această variantă adaugă Intrări LaunchDaemon care execută o sarcină utilă în ~/.rootAcest mecanism asigură o pornire timpurie și stabilă și se camuflează în încurcătura de servicii de sistem care se încarcă în fundal.

S-a observat, de asemenea, crearea unui Fișierul System Settings.app falsificat în /tmp, ceea ce permite programelor malware să își deghizeze activitatea sub pretextul unei aplicații de sistem legitime. Acest tip de uzurpare de identitate ajută la evitarea suspiciunii la inspectarea proceselor sau căilor în timpul execuției aleatorii.

În paralel, munca de ofuscare a XCSSET este din nou în centrul atenției: Criptare mai sofisticată, nume aleatorii de module și AppleScript-uri doar pentru rulareTotul indică extinderea duratei de viață a campaniei înainte de a fi neutralizată de semnături și reguli de detectare.

Capacități istorice: dincolo de browser

Privind în urmă, XCSSET nu s-a limitat doar la golirea browserelor. Capacitatea sa de a extrage date din aplicații precum Google ChromeOpera, Telegram, Evernote, Skype, WeChat și aplicațiile proprii ale Apple, cum ar fi Contacte și noteAdică o gamă de surse care include mesagerie, productivitate și date personale.

În 2021, rapoarte precum cel al lui Jamf au descris modul în care XCSSET a exploatat CVE-2021-30713, o ocolire a cadrului TCC, a bea capturi de ecran de pe desktop fără a cere permisiunea. Această abilitate se încadrează într-un obiectiv clar: spionează și colectează materiale sensibile cu frecare minimă pentru utilizator.

În timp, malware-ul a fost ajustat pentru a Compatibilitate macOS Monterey și cu cipurile M1, ceva care îi subliniază continuitate și întreținere de către atacatoriPână în ziua de azi, originea exactă a operațiunii rămâne neclară.

Cum se strecoară în proiectele Xcode

Distribuția XCSSET nu este detaliată la milimetru, dar totul indică faptul că Profitați de partajarea proiectelor Xcode între dezvoltatoriDacă un depozit sau un pachet este deja compromis, orice compilare ulterioară activează codul malițios.

Acest model transformă echipele de dezvoltare în vectori de propagare privilegiați, în special în medii cu practici laxe de verificare a dependențelor, scripturi de compilare sau șabloane partajate. Este o reamintire că lanțul de aprovizionare cu software a devenit o țintă recurentă.

Având în vedere acest scenariu, este logic ca noua variantă să consolideze logica pentru a decide unde să se insereze sarcini utile în cadrul proiectuluiCu cât locația ta pare mai „naturală”, cu atât este mai puțin probabil ca un dezvoltator să o observe într-o scanare rapidă.

Ergonomia atacului: erori, etape și semne

Microsoft anunțase deja îmbunătățiri aduse XCSSET la începutul acestui an. gestionarea erorilor și persistențaImportant este că acum se încadrează într-un lanț de infectare pas cu pas: un AppleScript care lansează o comandă shell, care descarcă un alt AppleScript final, care la rândul său adună informații despre sistem și lansează submodule.

Dacă sunteți în căutarea unor semne, prezența ~/.zshrc_aliases, manipulări în ~/.zshrc, intrări suspecte în LaunchDaemons sau o aplicație System Settings.app ciudată în /tmp Acestea sunt indicatori la care trebuie să fiți atenți. Orice activitate anormală în Dock (de exemplu, căile Launchpad înlocuite) ar trebui să declanșeze și alarme.

În mediile gestionate, SOC-urile ar trebui să calibreze regulile care urmăresc Osascript neobișnuit, apeluri repetate către dockutil și artefacte codificate sau criptate în Base64 conectat la procesele de construire Xcode și utilizarea instrumentelor pentru vizualizarea proceselor care rulează pe macOSContextul compilării este esențial pentru reducerea rezultatelor fals pozitive.

Pe cine vizează XCSSET?

Accentul natural este pus pe cei care dezvoltă sau compilează cu Xcode, dar impactul se poate extinde la utilizatorii care instalați aplicații încorporate din proiecte contaminate. Partea financiară apare în deturnare a clipboard-ului, relevant în special pentru cei care manipulează în mod regulat criptomonede.

În domeniul datelor, exfiltrare din Firefox și alte aplicații pune în pericol acreditările, cookie-urile de sesiune și notele personale. Adăugați la acestea capacitățile moștenite ale capturi de ecran, criptarea fișierelor și note de răscumpărare, imaginea este mai mult decât completă.

Atacurile detectate până acum par să domeniul de aplicare limitat, dar, așa cum se întâmplă adesea, adevărata amploare a campaniei poate dura ceva timp până se va contura. Modularitatea facilitează iterații rapide, schimbări de nume și reglaj fin pentru a evita detectarea.

Recomandări practice pentru reducerea riscurilor

În primul rând, actualizați disciplina: Mențineți macOS și aplicațiile actualizate și luați în considerare soluții anti-malwareXCSSET a exploatat deja vulnerabilități, inclusiv cele zero-day, așa că actualizarea la cea mai recentă versiune reduce semnificativ suprafața de atac.

În al doilea rând, inspectarea proiectelor Xcode să descărcați sau să clonați din repozitorii și să fiți extrem de precauți cu ceea ce compilați. Revizuiți scripturile de compilare, Faze de rulare a scriptului, dependențele și orice fișiere executate în procesul de compilare.

În al treilea rând, fiți atenți la clipboard. Evitați copierea/lipirea adreselor de portofel neverificateVerificați de două ori primele și ultimele caractere înainte de a confirma tranzacțiile. Este un gest mic care vă poate scuti de multe probleme.

În al patrulea rând, telemetria și vânătoarea. Monitorizează osascript, dockutil, modificările aduse fișierelor ~/.zshrc și LaunchDaemonsDacă gestionați flote, încorporați reguli EDR care detectează AppleScript-uri compilate neobișnuite sau încărcări repetitive codificate în procesele de compilare.