XCSSET në macOS: Si funksionon varianti i tij i ri dhe si të mbroheni

Familja e malware XCSSET për macOS është rikthyer me një variant të përmirësuar, dhe kjo nuk është një arritje e vogël: Inteligjenca e Kërcënimeve e Microsoftit ka identifikuar ndryshime të rëndësishme në teknikat e errësimit, këmbënguljes dhe vjedhjes së të dhënave. që e ngrenë nivelin e kësaj njohjeje të vjetër. Nëse punoni me Xcode ose ndani projekte midis ekipeve, do të dëshironi të qëndroni në krye të asaj që po ndodh.

Që nga zbulimi i tij në vitin 2020, XCSSET është përshtatur me ndryshimet në ekosistemin e Apple. Ajo që po vërehet tani është varianti i parë i ri i dokumentuar publikisht që nga viti 2022., zbuluar në sulme të kufizuara, por me aftësi të zgjeruara. Ky është një program keqdashës modular që futet fshehurazi në projektet Xcode për të ekzekutuar ngarkesën e tij kur ato kompilohen, dhe në këtë përsëritje, ai përfshin taktika më dinake për të kamufluar veten dhe për të vazhduar.

Çfarë është XCSSET dhe pse përhapet kaq mirë?

Në thelb, XCSSET është një grup modulesh dashakeqe të dizajnuara për të infektojnë projektet Xcode dhe aktivizojnë funksionet e tyre gjatë ndërtimitVektori më i besueshëm i përhapjes është ndarja e skedarëve të projektit midis zhvilluesve bashkëpunues. apps për macOS, gjë që shumëfishon mundësitë e ekzekutimit në secilën ndërtim.

Ky program keqdashës historikisht ka qenë në gjendje të shfrytëzojë dobësitë zero-day, injektojnë kod në projekte dhe madje futin "backdoors" në komponentët e ekosistemit Apple, siç është SafariGjatë gjithë evolucionit të tij, ai ka shtuar gjithashtu përputhshmëri me versionet më të reja të arkitekturave macOS dhe Apple Silicon (M1), duke demonstruar një përshtatshmëri të jashtëzakonshme.

Në terren, XCSSET funksionon si hajdut informacioni dhe cryptocurrencyështë në gjendje të mbledhë të dhëna nga programe të njohura (Evernote, Notes, Skype, Telegram, QQ, WeChat dhe më shumë), nxjerrin skedarët e sistemit dhe aplikacioneve, dhe synojnë posaçërisht portofolet dixhitale. Përveç kësaj, disa variante kanë demonstruar Pamje të paautorizuara të ekranit, enkriptim skedarësh dhe vendosje e shënimeve të shpërblimit.

Çfarë ka të re në variantin më të fundit

Microsoft ka detajuar se varianti më i fundit përfshin Metoda të reja të errësimit, këmbënguljes dhe strategjive të infeksionitNuk po flasim më vetëm për shkëmbimin e emrave ose kompresimin e kodit: tani ka më shumë rastësi në mënyrën se si gjeneron ngarkesat e tij për të kontaminuar projektet Xcode.

Një ndryshim i habitshëm është përdorimi i kombinuar i teknikave të kodimit. Ndërsa përsëritjet e mëparshme mbështeteshin vetëm në xxd (hexdump), Versioni i ri shton Base64 dhe aplikon një numër të rastësishëm përsëritjesh., duke e bërë më të vështirë identifikimin dhe zbulimin e ngarkesës.

Emrat e brendshëm të moduleve janë gjithashtu më të fshehur se kurrë: Ato janë të errësuar në nivelin e kodit për të fshehur qëllimin e tyreKjo e ndërlikon analizën statike dhe korrelacionin midis funksioneve dhe efekteve të vëzhgueshme në sistem.

Qëndrueshmëria: metodat “zshrc” dhe “dock”

Një nga karakteristikat dalluese të këtij rikthimi të XCSSET janë dy rrugë shumë të ndryshme për të qëndruar gjallë pas infeksionit. Metoda "zshrc" shfrytëzon konfigurimin e shell-it për t'u ekzekutuar automatikisht në çdo seancë., dhe metoda "dock" manipulon shkurtoret e sistemit për të ekzekutuar ngarkesën dashakeqe në mënyrë transparente për përdoruesin.

Në qasjen “zshrc”, programi keqdashës krijon një skedar të quajtur ~/.zshrc_aliases me ngarkesën dhe më pas shton një komandë në ~/.zshrc që siguron që skedari të ngarkohet sa herë që hapet një seancë e re. Kjo siguron qëndrueshmëri në të gjitha terminalet pa ngritur dyshime të dukshme.

Plani i "dokut" përfshin shkarkimin e një mjeti të nënshkruar nga serveri i komandës dhe kontrollit, dockutil, për të menaxhuar elementët e Dock-utPastaj krijon një aplikacion të rremë Launchpad dhe zëvendëson rrugën për në Launchpad-in legjitim në Dock me atë aplikacion të rremë. Rezultati: sa herë që përdoruesi hap Launchpad nga Dock, hapet ai i vërtëti dhe, paralelisht, ngarkesa keqdashëse është aktivizuar.

Si përforcim, varianti prezanton Kritere të reja për të vendosur se ku në projektin Xcode duhet të futet ngarkesaKjo optimizon ndikimin dhe minimizon shanset që zhvilluesi të dallojë diçka të pazakontë gjatë shqyrtimit të pemës së projektit.

AppleScript, ekzekutim i fshehtë dhe zinxhir infeksioni

Hulumtimi i Microsoft përshkruan se XCSSET përdor AppleScripts të kompiluara në modalitetin vetëm për ekzekutim të ekzekutohet në heshtje dhe të parandalojë analizën e drejtpërdrejtë nga zbulimi i përmbajtjes së saj. Kjo teknikë përputhet me qëllimin e saj për padukshmëri dhe shmangien e mjeteve të inspektimit të skripteve.

Në fazën e katërt të zinxhirit të infeksionit, vërehet se Një aplikacion AppleScript ekzekuton një komandë shell për të shkarkuar fazën përfundimtare.Ky AppleScript i fundit mbledh informacion nga sistemi i kompromentuar dhe ngarkon nënmodule duke thirrur funksionin boot(), i cili orkestron vendosjen modulare të aftësive.

Janë zbuluar edhe ndryshime logjike: Kontrolle shtesë për shfletuesin Firefox dhe një metodë të ndryshme për të konfirmuar praninë e aplikacionit të mesazheve Telegram. Këto nuk janë detaje të vogla; ato tregojnë një qëllim të qartë për ta bërë mbledhjen e të dhënave më të besueshme dhe për të zgjeruar fushëveprimin e saj.

Modulet e riemërtuara dhe pjesët e reja

Me çdo rishikim, familja XCSSET ndryshoi pak emrat e moduleve të saj, një lojë klasike e maceve dhe miut për të e bëjnë të vështirë gjurmimin e versioneve dhe nënshkrimeveMegjithatë, funksionaliteti i tij në përgjithësi mbetet i qëndrueshëm.

Midis moduleve të theksuara të këtij varianti shfaqen identifikues të tillë si vexyeqj (më parë seiseecj), i cili shkarkoni një modul tjetër të quajtur bnk dhe e ekzekuton atë duke përdorur osascript. Kjo dorëshkrim shton validimin e të dhënave, enkriptimin, dekriptimin, marrjen e përmbajtjes shtesë nga C2 dhe aftësitë e regjistrimit të ngjarjeve, dhe përfshin komponentin "clipper".

Gjithashtu përmendet neq_cdyd_ilvcmwx, ngjashëm me txzx_vostfdi, i cili është përgjegjës për ekstraktoni skedarët në serverin e komandës dhe kontrollit; moduli xmyyeqjx që përgatit Përqendrueshmëria e bazuar në LaunchDaemon; Jey (më parë jez) që konfiguron një qëndrueshmëri nëpërmjet Git; dhe iewmilh_cdyd, përgjegjës për vjedhjen e të dhënave nga Firefox duke përdorur një version të modifikuar të mjetit publik HackBrowserData.

• vexyeqj: modul informacioni; shkarko dhe përdor bnk, integron prerësin dhe enkriptimin.
• neq_cdyd_ilvcmwx: nxjerrja e skedarëve në C2.
• xmyyeqjx: këmbëngulje nga LaunchDaemon.
• Jey: qëndrueshmëri përmes Git.
• iewmilh_cdydVjedhja e të dhënave të Firefox me HackBrowserData të modifikuar.

Fokusi te Firefox është veçanërisht i rëndësishëm, sepse zgjeron shtrirjen përtej Chromium dhe SafariKjo do të thotë që gama e viktimave të mundshme po rritet dhe teknikat e nxjerrjes së kredencialeve dhe cookie-ve po përpunohen për motorë të shumtë shfletuesish.

Vjedhja e kriptomonedhave duke përdorur rrëmbimin e clipboard-it

Një nga aftësitë që paraqet shqetësimin më të madh në këtë evolucion është moduli "clipper". Monitoron kujtesën e përkohshme për shprehje të rregullta që përputhen me adresat e kriptomonedhave (formate të ndryshme portofolesh). Sapo zbulon një përputhje, menjëherë e zëvendëson adresën me një të kontrolluar nga sulmuesi.

Ky sulm nuk kërkon privilegje të larta për të shkaktuar kaos: Viktima kopjon adresën e saj nga portofoli, e ngjis atë për të dërguar fonde dhe pa e ditur ia transferon sulmuesit.Siç theksoi ekipi i Microsoft, kjo gërryen besimin në diçka aq themelore sa kopjimi dhe ngjitja.

Kombinimi i vjedhjes së të dhënave të clipper-it dhe shfletuesit e bën XCSSET një Një kërcënim praktik për kriminelët kibernetikë të përqendruar në asetet kriptoAta mund të marrin cookie-t e sesionit, fjalëkalimet e ruajtura dhe madje të ridrejtojnë transaksionet pa prekur bilancin e dukshëm të viktimës derisa të jetë tepër vonë.

Taktika të tjera të këmbënguljes dhe kamuflazhit

Përveç “zshrc” dhe “dock”, Microsoft përshkruan se ky variant shton Hyrjet e LaunchDaemon që ekzekutojnë një ngarkesë në ~/.rootKy mekanizëm siguron një nisje të hershme dhe të qëndrueshme dhe kamuflohet midis rrëmujës së shërbimeve të sistemit që ngarkohen në sfond.

Krijimi i një është vërejtur gjithashtu Cilësimet e Sistemit.app u imituan në /tmp, i cili lejon programet keqdashëse të maskojnë aktivitetin e tyre nën maskën e një aplikacioni legjitim të sistemit. Ky lloj imitimi ndihmon në shmangien e dyshimeve gjatë inspektimit të proceseve ose shtigjeve gjatë ekzekutimit të rastësishëm.

Paralelisht, puna e XCSSET-it në errësimin e teksteve është rikthyer në qendër të vëmendjes: Enkriptim më i sofistikuar, emra të rastësishëm të moduleve dhe AppleScripts vetëm për ekzekutimGjithçka tregon për zgjatjen e jetëgjatësisë së fushatës përpara se ajo të neutralizohet nga nënshkrimet dhe rregullat e zbulimit.

Aftësitë historike: përtej shfletuesit

Duke parë prapa, XCSSET nuk është kufizuar vetëm në zbrazjen e shfletuesve. Aftësia e tij për të nxjerr të dhëna nga aplikacione si p.sh. Google Chrome, Opera, Telegram, Evernote, Skype, WeChat dhe aplikacionet e vetë Apple, të tilla si Kontaktet dhe ShënimetDomethënë, një gamë burimesh që përfshijnë mesazhet, produktivitetin dhe të dhënat personale.

Në vitin 2021, raporte si ai i Jamf përshkruan se si XCSSET shfrytëzoi CVE-2021-30713, një anashkalim i kornizës TCC, për të pirë pamje të ekranit të desktopit pa kërkuar leje. Kjo aftësi përputhet me një objektiv të qartë: spiunojnë dhe mbledhin materiale të ndjeshme me fërkim minimal për përdoruesin.

Me kalimin e kohës, programi keqdashës u përshtat për të Pajtueshmëria me macOS Monterey dhe me çipat M1, diçka që e thekson atë vazhdimësia dhe mirëmbajtja nga sulmuesitDeri më sot, origjina e saktë e operacionit mbetet e paqartë.

Si futet tinëzisht në projektet Xcode

Shpërndarja e XCSSET nuk është e detajuar në milimetër, por gjithçka tregon se Përfitoni nga ndarja e projektit Xcode midis zhvilluesveNëse një depo ose paketë është tashmë e kompromentuar, çdo ndërtim i mëvonshëm aktivizon kodin keqdashës.

Ky model i shndërron ekipet e zhvillimit në vektorë të përhapjes së privilegjuar, veçanërisht në mjedise me praktika të dobëta të kontrollit të varësive, skripte ndërtimi ose shabllone të përbashkëta. Është një kujtesë se zinxhiri i furnizimit me softuer është bërë një objektiv i përsëritur.

Duke pasur parasysh këtë skenar, ka kuptim që varianti i ri përforcon logjika për të vendosur se ku të futen ngarkesat brenda projektitSa më “natyrale” të duket vendndodhja juaj, aq më pak ka gjasa që një zhvillues ta dallojë atë në një skanim të shpejtë.

Ergonomia e sulmit: gabime, faza dhe shenja

Microsoft kishte njoftuar përmirësime në XCSSET më herët këtë vit. menaxhimi i gabimeve dhe vazhdimësiaGjëja e rëndësishme është se tani përshtatet në një zinxhir infeksioni hap pas hapi: një AppleScript që nis një komandë shell, e cila shkarkon një tjetër AppleScript përfundimtar, i cili nga ana tjetër mbledh informacionin e sistemit dhe nis nënmodulet.

Nëse jeni duke kërkuar për shenja, prania e ~/.zshrc_aliases, manipulime në ~/.zshrc, hyrje të dyshimta në LaunchDaemons, ose një aplikacion i çuditshëm System Settings.app në /tmp Këta janë tregues për të cilët duhet të keni kujdes. Çdo aktivitet anormal në Dock (p.sh., shtigjet e zëvendësuara të Launchpad) duhet të shkaktojë gjithashtu alarme.

Në mjediset e menaxhuara, SOC-të duhet të kalibrojnë rregullat që ndjekin Osascript i pazakontë, thirrje të përsëritura në dockutil dhe artefakte të koduara ose të enkriptuara në Base64 të lidhura me proceset e ndërtimit të Xcode dhe përdorimin e mjeteve për të shikoni proceset që ekzekutohen në macOSKonteksti i përmbledhjes është çelësi për të zvogëluar pozitivët e rremë.

Kush është duke synuar XCSSET?

Fokusi natyror janë ata që zhvillojnë ose kompilojnë me Xcode, por ndikimi mund të shtrihet tek përdoruesit që instaloni aplikacione të integruara nga projektet e kontaminuara. Pjesa financiare shfaqet në rrëmbimi i kujtesës së të dhënave, veçanërisht e rëndësishme për ata që merren rregullisht me kriptovaluta.

Në sferën e të dhënave, nxjerrje nga Firefox dhe aplikacione të tjera vë në rrezik kredencialet, cookie-t e sesionit dhe shënimet personale. Shtojini kësaj edhe aftësitë e trashëguara të pamje të ekranit, enkriptim skedarësh dhe shënime për shpërblimin e shpengimit, fotografia është më se e plotë.

Sulmet e zbuluara deri më tani duket se i kufizuar në fushëveprim, por siç ndodh shpesh, shkalla e vërtetë e fushatës mund të duhet kohë për t'u shfaqur. Modulariteti lehtëson përsëritjet e shpejta, ndryshimet e emrave dhe rregullim i imët për të shmangur zbulimin.

Rekomandime praktike për të zvogëluar rrezikun

Së pari, azhurnoni disiplinën: Mbajeni macOS dhe aplikacionet të përditësuara dhe konsideroni zgjidhje kundër programeve të dëmshmeXCSSET ka shfrytëzuar tashmë dobësitë, duke përfshirë ato zero-day, kështu që përditësimi në versionin më të fundit e zvogëlon ndjeshëm sipërfaqen e sulmit.

Së dyti, inspektoni projektet Xcode që shkarkoni ose klononi nga depot dhe jini jashtëzakonisht të kujdesshëm me atë që kompiloni. Rishikoni skriptet e ndërtimit, Fazat e Ekzekutimit të Skriptit, varësitë dhe çdo skedar që ekzekutohet në procesin e ndërtimit.

Së treti, kini kujdes me tabelën e të dhënave. Shmangni kopjimin/ngjitjen e adresave të paverifikuara të portofolitKontrolloni dy herë karakterin e parë dhe të fundit përpara se të konfirmoni transaksionet. Është një gjest i vogël që mund t'ju kursejë shumë telashe.

Së katërti, telemetria dhe gjuetia. Monitoron osascript, dockutil, ndryshimet në ~/.zshrc dhe LaunchDaemonsNëse menaxhoni flota, përfshini rregulla EDR që zbulojnë AppleScript-e të pazakonta të kompiluara ose ngarkime të koduara përsëritëse në proceset e ndërtimit.