XCSSET v sistemu macOS: Kako deluje njegova nova različica in kako se zaščititi

Družina zlonamerna programska oprema XCSSET za macOS se je vrnil z izboljšano različico in to ni majhen podvig: Microsoft Threat Intelligence je odkril pomembne spremembe v tehnikah zakrivanja, vztrajnosti in kraje podatkov. ki dvignejo standarde za to staro znanko. Če delate z Xcode ali delite projekte med ekipami, boste želeli biti na tekočem z dogajanjem.

XCSSET se od svojega odkritja leta 2020 prilagaja spremembam v Appleovem ekosistemu. Kar zdaj opažamo, je prva javno dokumentirana nova različica od leta 2022., zaznan v omejenih napadih, vendar z razširjenimi zmogljivostmi. Gre za modularno zlonamerno programsko opremo, ki se prikrade v projekte Xcode, da bi izvedla svoj koristni tovor, ko so ti prevedeni, v tej iteraciji pa vključuje bolj premetene taktike za prikrivanje in vztrajanje.

Kaj je XCSSET in zakaj se tako dobro širi?

V bistvu je XCSSET niz zlonamernih modulov, zasnovanih za okužijo projekte Xcode in aktivirajo njihove funkcije med gradnjoNajbolj verjeten vektor širjenja je skupna raba projektnih datotek med sodelujočimi razvijalci. aplikacije za macOS, kar pomnoži možnosti izvajanja v vsaki gradnji.

Ta zlonamerna programska oprema je v preteklosti lahko izkoristila ranljivosti ničelnega dne, vbrizgavanje kode v projekte in celo uvajanje zadnjih vrat v komponente Appleovega ekosistema, kot je SafariSkozi svoj razvoj je dodal tudi združljivost z novejšimi različicami arhitektur macOS in Apple Silicon (M1), kar dokazuje izjemno prilagodljivost.

Na terenu XCSSET deluje kot tat informacij in kriptokvocnosti: lahko zbira podatke iz priljubljenih programov (Evernote, Notes, Skype, Telegram, QQ, WeChat in več), izluščijo sistemske in aplikacijske datoteke ter ciljajo posebej na digitalne denarnice. Poleg tega so nekatere različice pokazale Nepooblaščeni posnetki zaslona, ​​šifriranje datotek in nameščanje zahtev za odkupnino.

Kaj je novega v najnovejši različici

Microsoft je podrobno navedel, da najnovejša različica vključuje Nove metode zakrivanja, vztrajnosti in strategij okužbeNe govorimo več samo o zamenjavi imen ali stiskanju kode: zdaj je več naključnosti v načinu, kako ustvarja svoje koristne tovore za kontaminacijo projektov Xcode.

Presenetljiva sprememba je kombinirana uporaba tehnik kodiranja. Medtem ko so se prejšnje različice zanašale izključno na xxd (hexdump), Nova različica dodaja Base64 in uporablja naključno število iteracij, zaradi česar je tovor težje prepoznati in razvozlati.

Tudi notranja imena modulov so bolj skrita kot kdaj koli prej: Na ravni kode so zakriti, da bi prikrili svoj namen.To otežuje statično analizo in korelacijo med funkcijami in opaznimi učinki v sistemu.

Vztrajnost: metodi »zshrc« in »dock«

Ena od značilnosti te vrnitve XCSSET sta dve zelo različni poti do preživetja po okužbi. Metoda »zshrc« izkorišča konfiguracijo lupine za samodejni zagon v vsaki seji., metoda »dock« pa manipulira s sistemskimi bližnjicami, da zlonamerni koristni tovor pregledno izvede za uporabnika.

Pri pristopu »zshrc« zlonamerna programska oprema ustvari datoteko z imenom ~/.zshrc_aliases s koristnim tovorom in nato doda ukaz v ~/.zshrc, ki zagotovi, da se datoteka naloži vsakič, ko se odpre nova seja. To zagotavlja obstojnost na vseh terminalih, ne da bi to vzbudilo kakršne koli očitne sume.

Načrt »priklopa« vključuje prenos podpisanega orodja s strežnika za upravljanje in nadzor, dockutil, za upravljanje elementov DockNato ustvari lažno aplikacijo Launchpad in pot do legitimne aplikacije Launchpad v Docku zamenja s to lažno aplikacijo. Rezultat: vsakič, ko uporabnik zažene Launchpad iz Docka, se odpre prava in vzporedno z njo zlonamerni koristni tovor je aktiviran.

Kot okrepitev različica uvaja Nova merila za odločanje, kam v projektu Xcode vstaviti koristni tovorTo optimizira vpliv in zmanjša možnosti, da bi razvijalec pri pregledu drevesa projekta opazil kaj nenavadnega.

AppleScript, prikrito izvajanje in veriga okužb

Microsoftova raziskava opisuje, da XCSSET uporablja AppleScripts, prevedeni v načinu samo za izvajanje da deluje tiho in prepreči, da bi neposredna analiza razkrila njegovo vsebino. Ta tehnika se ujema z njenim ciljem nevidnosti in izogibanja orodjem za pregledovanje skriptov.

V četrti fazi okužbne verige opazimo, da Aplikacija AppleScript zažene ukaz lupine za prenos zadnje fazeTa zadnji AppleScript zbira informacije iz ogroženega sistema in zažene podmodule s klicem funkcije boot(), ki orkestrira modularno uvajanje zmogljivosti.

Zaznane so bile tudi logične spremembe: Dodatna preverjanja za brskalnik Firefox in drugačen način za potrditev prisotnosti aplikacije za sporočanje Telegram. To niso manjše podrobnosti; kažejo na jasno namero, da se zbiranje podatkov naredi zanesljivejše in razširi njegov obseg.

Preimenovani moduli in novi deli

Z vsako revizijo je družina XCSSET nekoliko spremenila imena svojih modulov, kar je bila klasična igra mačke in miši. otežujejo sledenje različicam in podpisomKljub temu njegova funkcionalnost na splošno ostaja dosledna.

Med poudarjenimi moduli te različice se pojavljajo identifikatorji, kot so vexyeqj (prej seizecj), ki prenesite še en modul z imenom bnk in ga zažene z osascriptom. To script dodaja preverjanje podatkov, šifriranje, dešifriranje, pridobivanje dodatne vsebine iz C2 in zmogljivosti beleženja dogodkov ter vključuje komponento »clipper«.

Omenjeno je tudi neq_cdyd_ilvcmwx, podobno kot txzx_vostfdi, ki je odgovoren za izvleči datoteke na strežnik za upravljanje in nadzormodul xmyyeqjx ki pripravlja Vztrajnost na osnovi LaunchDaemon; zdravo (prej jez), ki konfigurira vztrajnost prek Gita, In iewmilh_cdyd, odgovoren za krajo podatkov iz Firefoxa z uporabo spremenjene različice javnega orodja HackBrowserData.

• vexyeqj: informacijski modul; prenos in uporaba BNK, združuje striženje in šifriranje.
• neq_cdyd_ilvcmwx: izselitev datotek v C2.
• xmyyeqjx: vztrajnost s strani LaunchDaemon.
• zdravovztrajnost prek Gita.
• iewmilh_cdydKraja podatkov v Firefoxu s spremenjeno datoteko HackBrowserData.

Osredotočenost na Firefox je še posebej pomembna, ker širi doseg onkraj Chromiuma in SafarijaTo pomeni, da se obseg potencialnih žrtev povečuje, tehnike pridobivanja poverilnic in piškotkov pa se izpopolnjujejo za več brskalnikov.

Kraja kriptovalut z uporabo ugrabitve odložišča

Ena od zmogljivosti, ki v tem razvoju vzbuja največjo skrb, je modul »clipper«. Spremlja odložišče za regularne izraze, ki se ujemajo z naslovi kriptovalut (različne oblike denarnic). Takoj ko zazna ujemanje, takoj zamenja naslov z naslovom, ki ga nadzoruje napadalec.

Ta napad ne zahteva povišanih privilegijev za povzročitev opustošenja: Žrtev kopira svoj naslov iz denarnice, ga prilepi za pošiljanje sredstev in ga nevede prenese napadalcu.Kot je poudarila Microsoftova ekipa, to spodkopava zaupanje v nekaj tako osnovnega, kot je kopiranje in lepljenje.

Kombinacija kraje podatkov s programom Clipper in brskalnikom naredi XCSSET ... Praktična grožnja kibernetskim kriminalcem, osredotočena na kripto sredstvaPridobijo lahko sejne piškotke, shranjena gesla in celo preusmerijo transakcije, ne da bi se dotaknili vidnega stanja žrtve, dokler ni prepozno.

Druge taktike vztrajnosti in kamuflaže

Microsoft opisuje, da ta različica poleg »zshrc« in »dock« dodaja Vnosi LaunchDaemon, ki izvajajo koristni tovor v ~/.rootTa mehanizem zagotavlja zgodnji in stabilen zagon ter se skrije med množico sistemskih storitev, ki se nalagajo v ozadju.

Opažen je bil tudi nastanek Ponarejena aplikacija System Settings.app v /tmp, ki zlonamerni programski opremi omogoča, da prikrije svojo dejavnost pod krinko legitimne sistemske aplikacije. Ta vrsta lažnega predstavljanja pomaga preprečiti sum pri pregledovanju procesov ali poti med naključnim izvajanjem.

Vzporedno je delo XCSSET-a na področju zakrivanja spet v središču pozornosti: Bolj sofisticirano šifriranje, naključna imena modulov in AppleScripts, ki se izvajajo samoVse kaže na podaljšanje življenjske dobe kampanje, preden jo nevtralizirajo podpisi in pravila zaznavanja.

Zgodovinske zmogljivosti: onkraj brskalnika

Če se ozremo nazaj, XCSSET ni bil omejen le na praznjenje brskalnikov. Njegova sposobnost pridobivanje podatkov iz aplikacij, kot so Google Chrome, Opera, Telegram, Evernote, Skype, WeChat in Applove lastne aplikacije, kot so Stiki in opombeTo pomeni vrsto virov, ki vključujejo sporočanje, produktivnost in osebne podatke.

Leta 2021 so poročila, kot je Jamfovo, opisala, kako je XCSSET izkoriščal CVE-2021-30713, obhod ogrodja TCC, piti posnetki zaslona namizja brez zahteve za dovoljenje. Ta veščina ustreza jasnemu cilju: vohunjenje in zbiranje občutljivega gradiva z minimalnim trenjem za uporabnika.

Sčasoma je bila zlonamerna programska oprema prilagojena Združljivost z macOS Monterey in z čipi M1, nekaj, kar poudarja njegovo kontinuiteto in vzdrževanje s strani napadalcevDo danes natančen izvor operacije ostaja nejasen.

Kako se prikrade v projekte Xcode

Porazdelitev XCSSET ni natančno določena, vendar vse kaže na to. Izkoristite prednosti deljenja projektov Xcode med razvijalciČe je repozitorij ali paket že ogrožen, vsaka nadaljnja gradnja aktivira zlonamerno kodo.

Ta vzorec spremeni razvojne ekipe v privilegirani vektorji širjenja, zlasti v okoljih z ohlapnimi praksami preverjanja odvisnosti, skripti za gradnjo ali predlogami v skupni rabi. To je opomnik, da dobavna veriga programske opreme je postal ponavljajoča se tarča.

Glede na ta scenarij je smiselno, da nova različica krepi logika za odločanje o tem, kam v projekt vstaviti koristne tovoreBolj ko je vaša lokacija videti »naravna«, manjša je verjetnost, da jo bo razvijalec opazil pri hitrem pregledu.

Ergonomija napada: napake, faze in znaki

Microsoft je že v začetku letošnjega leta napovedal izboljšave XCSSET-a. upravljanje napak in vztrajnostPomembno je, da se zdaj ujema s postopno verigo okužb: AppleScript, ki zažene ukaz lupine, ki prenese še en končni AppleScript, ki nato ... zbira sistemske informacije in zažene podmodule.

Če iščete znake, prisotnost ~/.zshrc_aliases, manipulacije v ~/.zshrc, sumljivi vnosi v LaunchDaemons ali nenavadna datoteka System Settings.app v /tmp To so kazalniki, na katere morate biti pozorni. Vsaka nenavadna aktivnost v Docku (npr. zamenjane poti lansirne ploščice) bi morala prav tako sprožiti alarme.

V upravljanih okoljih bi morali SOC-ji umeriti pravila, ki si prizadevajo za Nenavaden osascript, ponavljajoči se klici dockutila in artefakti, kodirani ali šifrirani v Base64 povezano s procesi gradnje Xcode in uporabo orodij za ogled procesov, ki se izvajajo v sistemu macOSKontekst kompilacije je ključnega pomena za zmanjšanje lažno pozitivnih rezultatov.

Na koga cilja XCSSET?

Naravni poudarek je na tistih, ki razvijajo ali prevajajo z Xcode, vendar se lahko vpliv razširi tudi na uporabnike, ki namestite vgrajene aplikacije iz kontaminiranih projektov. Finančni del se pojavi v ugrabitev odložišča, še posebej pomembno za tiste, ki redno upravljajo s kriptovalutami.

Na področju podatkov, izbruh iz Firefoxa in drugih aplikacij ogroža poverilnice, sejne piškotke in osebne zapiske. K temu dodajte še starejše zmogljivosti posnetki zaslona, ​​šifriranje datotek in obvestila o odkupnini, slika je več kot popolna.

Zdi se, da so do sedaj odkriti napadi omejenega obsega, vendar se lahko, kot se pogosto zgodi, pravi obseg kampanje pokaže šele čez nekaj časa. Modularnost omogoča hitre iteracije, spremembe imen in fino nastavljanje, da se prepreči odkrivanje.

Praktična priporočila za zmanjšanje tveganja

Najprej posodobite disciplino: Poskrbite za posodabljanje sistema macOS in aplikacij in razmislite rešitve proti zlonamerni programski opremiXCSSET je že izkoristil ranljivosti, vključno z ranljivostmi ničelnega dne, zato nadgradnja na najnovejšo različico znatno zmanjša površino napada.

Drugič, pregled projektov Xcode ki jih prenesete ali klonirate iz repozitorijev, in bodite izjemno previdni pri tem, kaj prevajate. Preglejte skripte za gradnjo, Faze izvajanja skriptov, odvisnosti in vse datoteke, ki se izvajajo med procesom gradnje.

Tretjič, bodite previdni z odložiščem. Izogibajte se kopiranju/lepljenju nepreverjenih naslovov denarnicPred potrditvijo transakcij dvakrat preverite prvi in ​​zadnji znak. To je majhna gesta, ki vam lahko prihrani veliko težav.

Četrtič, telemetrija in lov. Spremlja osascript, dockutil, spremembe v ~/.zshrc in LaunchDaemonsČe upravljate flote, vključite pravila EDR, ki zaznajo nenavadne prevedene skripte AppleScripts ali ponavljajoče se nalaganje kode v procesih gradnje.