XCSSET на macOS-у: Како функционише његова нова варијанта и како се бранити

Породица од малваре XCSSET за macOS се вратио са побољшаном варијантом, и то није мали подвиг: Microsoft Threat Intelligence је идентификовао значајне промене у техникама замагљивања, перзистентности и крађе података. што подиже лествицу овом старом познанику. Ако радите са Xcode-ом или делите пројекте између тимова, желећете да будете у току са оним што се дешава.

Од свог открића 2020. године, XCSSET се прилагођавао променама у екосистему компаније Apple. Оно што се сада посматра је прва јавно документована нова варијанта од 2022. године., откривен у ограниченим нападима, али са проширеним могућностима. Ово је модуларни малвер који се ушуња у Xcode пројекте како би извршио свој корисни терет када се компајлирају, а у овој итерацији укључује лукавије тактике како би се камуфлирао и опстао.

Шта је XCSSET и зашто се тако добро шири?

У суштини, XCSSET је скуп злонамерних модула дизајнираних да заразити Xcode пројекте и активирати њихове функције током изградњеНајвероватнији вектор пропагације је дељење пројектних датотека између програмера који сарађују. апликације за macOS, што умножава могућности извршавања у свакој верзији.

Овај злонамерни софтвер је историјски био у стању да искористи рањивости нултог дана, убризгавање кода у пројекте, па чак и увођење задњих врата у компоненте Apple екосистема као што је SafariТоком своје еволуције, додао је и компатибилност са новијим верзијама macOS и Apple Silicon (M1) архитектура, демонстрирајући изузетну прилагодљивост.

На терену, XCSSET ради као лопов информација и криптоквучностиможе да прикупља податке из популарних програма (Evernote, Notes, Skype, Telegram, QQ, ВеЦхат и више), извлаче системске и апликацијске датотеке и посебно циљају дигиталне новчанике. Поред тога, неке варијанте су показале Неовлашћени снимци екрана, шифровање датотека и распоређивање порука са захтевом за откуп.

Шта је ново у најновијој варијанти

Мајкрософт је детаљно навео да најновија варијанта укључује Нове методе обфускације, перзистентности и стратегија инфекцијеВише не говоримо само о замени имена или компресији кода: сада постоји више случајности у начину на који генерише своје корисне податке како би контаминирао Xcode пројекте.

Упечатљива промена је комбинована употреба техника кодирања. Док су се претходне итерације ослањале искључиво на xxd (hexdump), Нова верзија додаје Base64 и примењује случајни број итерација, што отежава идентификацију и распетљавање терета.

Интерна имена модула су такође скривенија него икад: Они су замагљени на нивоу кода како би сакрили своју сврхуОво компликује статичку анализу и корелацију између функција и видљивих ефеката у систему.

Перзистентност: методе „zshrc“ и „dock“

Једна од карактеристика овог повратка XCSSET-а су два веома различита пута до преживљавања након инфекције. Метод „zshrc“ користи конфигурацију љуске за аутоматско покретање у свакој сесији, а метода „dock“ манипулише системским пречицама како би транспарентно извршила злонамерни корисни терет за корисника.

У приступу „zshrc“, злонамерни софтвер креира датотеку под називом ~/.zshrc_aliases са корисним теретом а затим додаје команду у ~/.zshrc која осигурава да се датотека учита сваки пут када се отвори нова сесија. Ово осигурава постојаност на свим терминалима без изазивања очигледних сумњи.

План „дока“ подразумева преузимање потписаног алата са командног и контролног сервера, dockutil, за управљање Dock елементимаЗатим креира лажну апликацију Launchpad и замењује путању до легитимне апликације Launchpad у Dock-у том лажном апликацијом. Резултат: сваки пут када корисник покрене Launchpad из Dock-а, отвара се права апликација и, паралелно, злонамерни корисни терет је активиран.

Као појачање, варијанта уводи Нови критеријуми за одлучивање где у Xcode пројекту убацити корисни теретОво оптимизује утицај и минимизира шансе да програмер примети нешто необично приликом прегледа стабла пројекта.

AppleScript, прикривено извршавање и ланац инфекције

Мајкрософтово истраживање описује да XCSSET користи AppleScripts компајлирани у режиму само за извршавање да ради тихо и спречи директну анализу да открије свој садржај. Ова техника се уклапа у њен циљ невидљивости и избегавања алата за инспекцију скрипти.

У четвртој фази ланца инфекције, примећено је да AppleScript апликација покреће команду shell-а да би преузела завршну фазуОвај последњи AppleScript прикупља информације са угроженог система и покреће подмодуле позивањем функције boot(), која оркестрира модуларно распоређивање могућности.

Такође су откривене логичке промене: Додатне провере за прегледач Firefox и другачији метод за потврду присуства апликације за размену порука Телеграм. Ово нису мали детаљи; они указују на јасну намеру да се прикупљање података учини поузданијим и прошири његов обим.

Преименовани модули и нови делови

Са сваком ревизијом, XCSSET породица је мало мењала имена својих модула, класичну игру мачке и миша да би... отежавају праћење верзија и потписаУпркос томе, његова функционалност генерално остаје доследна.

Међу истакнутим модулима ове варијанте појављују се идентификатори као што су vexyeqj (раније seisecj), који преузмите још један модул под називом bnk и покреће га помоћу osascript-а. Ово скрипта додаје валидацију података, шифровање, дешифровање, преузимање додатног садржаја из C2 и могућности евидентирања догађаја, и укључује компоненту „clipper“.

Такође се помиње нек_цдид_илвцмвкс, слично као txzx_vostfdi, који је одговоран за пренети датотеке на командни и контролни сервермодул xmyyeqjx који припрема Перзистентност заснована на LaunchDaemon-у; хеј (раније jez) који конфигурише перзистентност путем Гита; и иевмилх_цдид, одговоран за крађу података из Фајерфокса користећи модификовану верзију јавног алата HackBrowserData.

• vexyeqj: информативни модул; преузмите и користите БНК, интегрише клипер и шифровање.
• нек_цдид_илвцмвкс: извлачење датотека у C2.
• xmyyeqjx: истрајност од стране LaunchDaemon-а.
• хејистрајност кроз Гит.
• иевмилх_цдидКрађа података из Фајерфокса помоћу модификованог HackBrowserData.

Фокус на Фајерфокс је посебно релевантан, јер проширује досег изван Chromium-а и Safari-јаТо значи да се број потенцијалних жртава повећава, а технике екстракције акредитива и колачића се усавршавају за више прегледача.

Крађа криптовалута коришћењем отмице међуспремника

Једна од могућности које одузимају највећу пажњу у овој еволуцији је модул „клипер“. Прати међуспремник за регуларне изразе који одговарају адресама криптовалута (различити формати новчаника). Чим открије подударање, одмах замењује адресу оном коју контролише нападач.

Овај напад не захтева повишена права да би изазвао хаос: Жртва копира своју адресу из новчаника, налепи је да би послала новац и несвесно је пребацује нападачуКао што је Мајкрософтов тим истакао, ово нарушава поверење у нешто тако основно као што је копирање и лепљење.

Комбинација клипера и крађе података из прегледача чини XCSSET... Практична претња сајбер криминалцима усмерена на крипто средстваМогу да добију колачиће сесије, сачуване лозинке, па чак и да преусмере трансакције без додиривања видљивог стања жртве док не буде прекасно.

Друге тактике истрајности и камуфлаже

Поред „zshrc“ и „dock“, Microsoft описује да ова варијанта додаје Уноси LaunchDaemon-а који извршавају корисни терет у ~/.rootОвај механизам обезбеђује рано и стабилно покретање и камуфлира се међу гомилом системских сервиса који се учитавају у позадини.

Такође је примећено стварање Лажна апликација System Settings.app у /tmp, што омогућава злонамерном софтверу да прикрије своју активност под маском легитимне системске апликације. Ова врста лажног представљања помаже у избегавању сумње приликом прегледа процеса или путања током насумичног извршавања.

Паралелно са тим, XCSSET-ов рад на обфускацији је поново у центру пажње: Софистицираније шифровање, насумична имена модула и AppleScripts-ови који се могу само покренутиСве указује на продужење трајања кампање пре него што је неутралишу потписи и правила детекције.

Историјске могућности: изван прегледача

Гледајући уназад, XCSSET није био ограничен само на пражњење прегледача. Његова способност да извлачење података из апликација као што су гоогле цхроме, Опера, Телеграм, Еверноут, Скајп, ВиЧет и Еплове сопствене апликације као што су Контакти и белешкеТо јест, низ извора који укључују размену порука, продуктивност и личне податке.

У 2021. години, извештаји попут Џамфовог су описали како је XCSSET експлоатисао CVE-2021-30713, заобилажење TCC оквира, da pijem снимци екрана радне површине без тражења дозволе. Ова вештина се уклапа у јасан циљ: шпијунирати и прикупљати осетљив материјал са минималним трењем за корисника.

Временом је злонамерни софтвер прилагођен Компатибилност са macOS-ом Monterey и са М1 чиповима, нешто што истиче његово континуитет и одржавање од стране нападачаДо данас, тачно порекло операције остаје нејасно.

Како се ушуња у Xcode пројекте

Дистрибуција XCSSET-а није детаљно описана до милиметра, али све указује на то Искористите предности дељења Xcode пројеката између програмераАко је репозиторијум или пакет већ угрожен, свака наредна изградња активира злонамерни код.

Овај образац претвара развојне тимове у привилеговани вектори пропагације, посебно у окружењима са лабавим праксама провере зависности, скриптама за изградњу или дељеним шаблонима. То је подсетник да ланац снабдевања софтвером постао је стални циљ.

С обзиром на овај сценарио, има смисла да нова варијанта појачава логика за одлучивање где убацити корисне терете унутар пројектаШто ваша локација изгледа „природније“, мања је вероватноћа да ће је програмер уочити брзим скенирањем.

Ергономија напада: грешке, фазе и знаци

Мајкрософт је већ раније ове године најавио побољшања за XCSSET. управљање грешкама и упорностВажно је да се сада уклапа у корак-по-корак ланац инфекције: AppleScript који покреће команду shell-а, која преузима још један финални AppleScript, који заузврат прикупља системске информације и покреће подмодуле.

Ако тражите знаке, присуство ~/.zshrc_aliases, манипулације у ~/.zshrc, сумњиви уноси у LaunchDaemons или чудна датотека System Settings.app у /tmp Ово су индикатори на које треба обратити пажњу. Било каква аномална активност у Доку (нпр. замењене путање Лаунчпад-а) такође би требало да покрене аларме.

У управљаним окружењима, SOC-ови треба да калибришу правила која теже Необичан osascript, поновљени позиви dockutil-а и артефакти кодирани или шифровани у Base64 формату повезано са процесима изградње Xcode-а и коришћењем алата за преглед покренутих процеса на macOS-уКонтекст компилације је кључан за смањење лажно позитивних резултата.

На кога циља XCSSET?

Природни фокус је на онима који развијају или компајлирају помоћу Xcode-а, али утицај се може проширити и на кориснике који инсталирајте уграђене апликације из контаминираних пројеката. Финансијски део се појављује у отмица међуспремника, посебно релевантно за оне који редовно рукују криптовалутама.

У сфери података, крађа из Фајерфокса и других апликација доводи у опасност акредитиве, колачиће сесије и личне белешке. Додајте томе застареле могућности снимци екрана, шифровање датотека и поруке о откупнини, слика је више него потпуна.

Чини се да су напади откривени до сада ограниченог обима, али као што је често случај, може бити потребно време да се појаве праве размере кампање. Модуларност олакшава брзе итерације, промене имена и фино подешавање како би се избегло откривање.

Практичне препоруке за смањење ризика

Прво, ажурирајте дисциплину: Одржавајте macOS и апликације ажурираним и размотрити антималвер решењаXCSSET је већ искористио рањивости, укључујући и оне zero-day, тако да надоградња на најновију верзију значајно смањује површину за напад.

Друго, прегледајте Xcode пројекте које преузимате или клонирате из репозиторијума и будите изузетно опрезни са оним што компајлирате. Прегледајте скрипте за изградњу, Фазе покретања скрипте, зависности и све датотеке које се извршавају током процеса изградње.

Треће, будите опрезни са међуспремником. Избегавајте копирање/лепљење непроверених адреса новчаникаДвапут проверите први и последњи знак пре потврђивања трансакција. То је мали гест који вам може уштедети много муке.

Четврто, телеметрија и лов. Прати osascript, dockutil, промене у ~/.zshrc и LaunchDaemonsАко управљате флотама, укључите EDR правила која откривају необичне компајлиране AppleScripts-ове или понављајућа отпремања кода у процесима изградње.