XCSSET บน macOS: วิธีการทำงานของเวอร์ชันใหม่และวิธีการป้องกันตัวเอง

ครอบครัวของ มัลแวร์ XCSSET สำหรับ macOS กลับมาพร้อมกับเวอร์ชันที่ได้รับการปรับปรุง และไม่ใช่เรื่องเล็กเลย: Microsoft Threat Intelligence ได้ระบุถึงการเปลี่ยนแปลงที่สำคัญในเทคนิคการบดบัง การคงอยู่ และการขโมยข้อมูล ที่ยกระดับมาตรฐานของความคุ้นเคยเก่าๆ นี้ หากคุณทำงานกับ Xcode หรือแชร์โปรเจ็กต์ระหว่างทีม คุณจะต้องคอยติดตามสิ่งที่เกิดขึ้นอยู่เสมอ

นับตั้งแต่มีการค้นพบในปี 2020 XCSSET ก็ได้ปรับตัวให้เข้ากับการเปลี่ยนแปลงในระบบนิเวศของ Apple สิ่งที่กำลังสังเกตอยู่ในขณะนี้คือไวรัสสายพันธุ์ใหม่ตัวแรกที่ได้รับการบันทึกต่อสาธารณะนับตั้งแต่ปี 2022ตรวจพบในการโจมตีที่จำกัดแต่มีความสามารถเพิ่มขึ้น นี่คือมัลแวร์แบบโมดูลาร์ที่แอบเข้าไปในโปรเจกต์ Xcode เพื่อรันเพย์โหลดเมื่อคอมไพล์เสร็จ และในรอบนี้ มันได้เพิ่มกลยุทธ์ที่แยบยลมากขึ้นเพื่อพรางตัวและคงอยู่ต่อไป

XCSSET คืออะไร และทำไมมันถึงแพร่หลายได้ดีมาก?

โดยพื้นฐานแล้ว XCSSET เป็นชุดของโมดูลที่เป็นอันตรายซึ่งออกแบบมาเพื่อ ติดเชื้อโครงการ Xcode และเปิดใช้งานฟังก์ชันของพวกเขาในระหว่างการสร้างเวกเตอร์การแพร่กระจายที่น่าเชื่อถือที่สุดคือการแบ่งปันไฟล์โครงการระหว่างนักพัฒนาที่ทำงานร่วมกัน ปพลิเคชัน สำหรับ macOS ซึ่งจะเพิ่มโอกาสในการดำเนินการในแต่ละรุ่น

มัลแวร์ชนิดนี้สามารถใช้ประโยชน์จากช่องโหว่แบบ Zero-day ได้ในอดีต ฉีดโค้ดเข้าไปในโครงการและแม้กระทั่งแนะนำประตูหลังเข้าไปในส่วนประกอบของระบบนิเวศของ Apple เช่น Safariตลอดวิวัฒนาการนั้น ยังได้เพิ่มความเข้ากันได้กับ macOS เวอร์ชันใหม่กว่าและสถาปัตยกรรม Apple Silicon (M1) อีกด้วย ซึ่งแสดงให้เห็นถึงความสามารถในการปรับตัวที่น่าทึ่ง

บนพื้นดิน XCSSET ทำงานเป็น ขโมยข้อมูลและ criptomonedas: สามารถรวบรวมข้อมูลจากโปรแกรมยอดนิยม (Evernote, Notes, Skype, Telegram, QQ, WeChat และอื่นๆ) ดึงไฟล์ระบบและแอปพลิเคชันออกมา และกำหนดเป้าหมายไปที่กระเป๋าเงินดิจิทัลโดยเฉพาะ นอกจากนี้ ยังมีการสาธิตตัวแปรบางตัว การจับภาพหน้าจอโดยไม่ได้รับอนุญาต การเข้ารหัสไฟล์ และการปรับใช้บันทึกเรียกค่าไถ่.

มีอะไรใหม่ในรุ่นล่าสุด

Microsoft ได้ให้รายละเอียดว่าเวอร์ชันล่าสุดประกอบด้วย วิธีการใหม่ในการบดบัง การคงอยู่ และกลยุทธ์การติดเชื้อเราไม่ได้พูดถึงการสลับชื่อหรือการบีบอัดโค้ดอีกต่อไป แต่ยังมีการสุ่มมากขึ้นในการสร้างเพย์โหลดเพื่อปนเปื้อนโครงการ Xcode

การเปลี่ยนแปลงที่โดดเด่นคือการใช้เทคนิคการเขียนโค้ดร่วมกัน ในขณะที่การวนซ้ำก่อนหน้านี้ใช้ xxd (hexdump) เพียงอย่างเดียว เวอร์ชันใหม่เพิ่ม Base64 และใช้การวนซ้ำแบบสุ่มจำนวนหนึ่งทำให้การระบุและแยกสินค้าทำได้ยากยิ่งขึ้น

ชื่อภายในของโมดูลยังถูกซ่อนไว้มากกว่าที่เคย: พวกเขาถูกทำให้คลุมเครือในระดับโค้ดเพื่อซ่อนจุดประสงค์ของพวกเขาสิ่งนี้ทำให้การวิเคราะห์แบบคงที่และความสัมพันธ์ระหว่างฟังก์ชันและผลกระทบที่สังเกตได้ในระบบมีความซับซ้อน

ความคงอยู่: วิธีการ “zshrc” และ “dock”

สิ่งที่โดดเด่นประการหนึ่งของการกลับมาของ XCSSET นี้คือเส้นทางที่แตกต่างกันสองทางในการเอาชีวิตรอดหลังจากการติดเชื้อ วิธี "zshrc" ใช้ประโยชน์จากการกำหนดค่าเชลล์เพื่อรันอัตโนมัติในแต่ละเซสชันและวิธีการ "dock" จะจัดการทางลัดของระบบเพื่อดำเนินการโหลดที่เป็นอันตรายอย่างโปร่งใสต่อผู้ใช้

ในแนวทาง "zshrc" มัลแวร์จะสร้างไฟล์ที่เรียกว่า ~/.zshrc_aliases พร้อมเพย์โหลด จากนั้นเพิ่มคำสั่งลงใน ~/.zshrc เพื่อให้แน่ใจว่าไฟล์จะถูกโหลดทุกครั้งที่เปิดเซสชันใหม่ วิธีนี้ช่วยให้มั่นใจได้ว่าไฟล์จะคงอยู่ตลอดทุกเทอร์มินัลโดยไม่ทำให้เกิดข้อสงสัยใดๆ

แผน "ท่าเรือ" เกี่ยวข้องกับการดาวน์โหลดเครื่องมือที่ลงนามจากเซิร์ฟเวอร์คำสั่งและการควบคุม dockutil เพื่อจัดการองค์ประกอบ Dockจากนั้นจึงสร้างแอป Launchpad ปลอมขึ้นมาและแทนที่เส้นทางไปยัง Launchpad ที่ถูกต้องใน Dock ด้วยแอปปลอมนั้น ผลลัพธ์: ทุกครั้งที่ผู้ใช้เปิด Launchpad จาก Dock แอปจริงจะเปิดขึ้น และในขณะเดียวกัน เพย์โหลดที่เป็นอันตรายถูกเปิดใช้งาน.

เป็นการเสริมกำลัง ตัวแปรแนะนำ เกณฑ์ใหม่ในการตัดสินใจว่าจะแทรกเพย์โหลดไว้ในโครงการ Xcode ตรงไหนการดำเนินการนี้จะช่วยเพิ่มประสิทธิภาพผลกระทบและลดโอกาสที่นักพัฒนาจะพบสิ่งผิดปกติเมื่อตรวจสอบโครงสร้างโครงการ

AppleScript การดำเนินการแบบซ่อนตัว และห่วงโซ่การติดเชื้อ

การวิจัยของ Microsoft อธิบายว่า XCSSET ใช้ AppleScripts คอมไพล์ในโหมดรันอย่างเดียว เพื่อทำงานอย่างเงียบเชียบและป้องกันไม่ให้การวิเคราะห์โดยตรงเปิดเผยเนื้อหา เทคนิคนี้สอดคล้องกับเป้าหมายในการซ่อนและหลบเลี่ยงเครื่องมือตรวจสอบสคริปต์

ในระยะที่สี่ของห่วงโซ่การติดเชื้อ พบว่า แอปพลิเคชัน AppleScript รันคำสั่งเชลล์เพื่อดาวน์โหลดขั้นตอนสุดท้ายAppleScript ขั้นสุดท้ายนี้จะรวบรวมข้อมูลจากระบบที่ถูกบุกรุกและบูตซับโมดูลด้วยการเรียกใช้ฟังก์ชัน boot() ซึ่งควบคุมการปรับใช้ความสามารถแบบโมดูลาร์

นอกจากนี้ยังตรวจพบการเปลี่ยนแปลงตรรกะด้วย: การตรวจสอบเพิ่มเติมสำหรับเบราว์เซอร์ Firefox และวิธีการที่แตกต่างออกไปสำหรับการยืนยันการมีอยู่ของแอปส่งข้อความ Telegram สิ่งเหล่านี้ไม่ใช่รายละเอียดปลีกย่อย แต่บ่งบอกถึงความตั้งใจที่ชัดเจนในการทำให้การรวบรวมข้อมูลมีความน่าเชื่อถือมากขึ้นและขยายขอบเขต

เปลี่ยนชื่อโมดูลและชิ้นส่วนใหม่

ในการแก้ไขแต่ละครั้ง ครอบครัว XCSSET จะเปลี่ยนชื่อโมดูลเล็กน้อย ซึ่งเป็นเกมแมวไล่จับหนูแบบคลาสสิก ทำให้การติดตามเวอร์ชันและลายเซ็นทำได้ยากถึงกระนั้นก็ตาม ฟังก์ชันการทำงานโดยทั่วไปยังคงสม่ำเสมอ

ในบรรดาโมดูลที่เน้นของตัวแปรนี้ปรากฏตัวระบุเช่น เว็กเยคเจ (เดิมยึด) ซึ่ง ดาวน์โหลดโมดูลอื่นชื่อ bnk และรันโดยใช้ osascript นี่ ต้นฉบับ เพิ่มการตรวจสอบข้อมูล การเข้ารหัส การถอดรหัส การดึงเนื้อหาเพิ่มเติมจาก C2 และความสามารถในการบันทึกเหตุการณ์ และรวมถึงส่วนประกอบ "คลิปเปอร์"

ยังได้กล่าวถึง neq_cdyd_ilvcmwxคล้ายกับ txzx_vostfdi ซึ่งรับผิดชอบ ย้ายไฟล์ไปยังเซิร์ฟเวอร์คำสั่งและควบคุม; โมดูล xmyyeqjx ที่เตรียมความพร้อม การคงอยู่บนพื้นฐานของ LaunchDaemon; เจย์ (เดิมชื่อเจซ) ที่กำหนดค่า ความคงอยู่ผ่าน Git; และ iewmilh_cdydรับผิดชอบในการขโมยข้อมูลจาก Firefox โดยใช้เครื่องมือ HackBrowserData สาธารณะเวอร์ชันดัดแปลง

• เว็กเยคเจ: โมดูลข้อมูล; ดาวน์โหลดและใช้งาน BNKรวมคลิปเปอร์และการเข้ารหัส
• neq_cdyd_ilvcmwx: การแยกไฟล์ไปยัง C2
• xmyyeqjx: การคงอยู่โดย LaunchDaemon
• เจย์: ความคงอยู่ผ่าน Git
• iewmilh_cdyd:การขโมยข้อมูล Firefox ด้วย HackBrowserData ที่ได้รับการดัดแปลง

การเน้นที่ Firefox มีความเกี่ยวข้องเป็นพิเศษเนื่องจาก ขยายขอบเขตเกินขอบเขตของ Chromium และ Safariซึ่งหมายความว่าขอบเขตของเหยื่อที่มีศักยภาพเพิ่มมากขึ้น และเทคนิคการแยกข้อมูลรับรองและคุกกี้กำลังได้รับการปรับปรุงสำหรับโปรแกรมเบราว์เซอร์หลายตัว

การขโมยสกุลเงินดิจิทัลโดยใช้การแฮ็กคลิปบอร์ด

ความสามารถอย่างหนึ่งที่น่ากังวลมากที่สุดในวิวัฒนาการนี้คือโมดูล “คลิปเปอร์” ตรวจสอบคลิปบอร์ดสำหรับนิพจน์ทั่วไปที่ตรงกับที่อยู่สกุลเงินดิจิทัล (รูปแบบกระเป๋าสตางค์หลากหลาย) ทันทีที่ตรวจพบการจับคู่ มันจะแทนที่ที่อยู่นั้นด้วยที่อยู่ที่ถูกควบคุมโดยผู้โจมตีทันที

การโจมตีนี้ไม่จำเป็นต้องมีสิทธิ์พิเศษเพื่อสร้างความหายนะ: เหยื่อคัดลอกที่อยู่จากกระเป๋าเงินของตนเอง วางเพื่อส่งเงิน และโอนไปยังผู้โจมตีโดยไม่รู้ตัวดังที่ทีมงาน Microsoft ชี้ให้เห็น การกระทำดังกล่าวจะทำลายความไว้วางใจในสิ่งที่พื้นฐานอย่างการคัดลอกและวาง

การรวมกันของคลิปเปอร์และการขโมยข้อมูลเบราว์เซอร์ทำให้ XCSSET เป็น ภัยคุกคามเชิงปฏิบัติต่ออาชญากรไซเบอร์ที่มุ่งเป้าไปที่สินทรัพย์ดิจิทัลพวกเขาสามารถรับคุกกี้เซสชัน รหัสผ่านที่บันทึกไว้ และแม้แต่เปลี่ยนเส้นทางธุรกรรมโดยไม่ต้องแตะยอดคงเหลือที่มองเห็นได้ของเหยื่อจนกว่าจะสายเกินไป

กลยุทธ์อื่น ๆ ของการคงอยู่และการพรางตัว

นอกจาก "zshrc" และ "dock" แล้ว Microsoft ยังอธิบายว่าตัวแปรนี้ยังเพิ่ม รายการ LaunchDaemon ที่ดำเนินการโหลดใน ~/.rootกลไกนี้ช่วยให้การเริ่มต้นระบบเป็นไปได้อย่างรวดเร็วและมีเสถียรภาพ และยังช่วยพรางตัวเองท่ามกลางระบบบริการต่างๆ ที่กำลังโหลดอยู่เบื้องหลังอีกด้วย

การสร้างของยังได้รับการสังเกต การตั้งค่าระบบปลอม.app ใน /tmpซึ่งทำให้มัลแวร์สามารถอำพรางกิจกรรมภายใต้หน้ากากของแอประบบที่ถูกต้องตามกฎหมาย การปลอมแปลงประเภทนี้ช่วยหลีกเลี่ยงการถูกสงสัยเมื่อตรวจสอบกระบวนการหรือเส้นทางระหว่างการดำเนินการแบบสุ่ม

ในขณะเดียวกัน งานการบดบังของ XCSSET ก็กลับมาเป็นที่สนใจอีกครั้ง: การเข้ารหัสที่ซับซ้อนยิ่งขึ้น ชื่อโมดูลแบบสุ่ม และ AppleScript ที่รันได้อย่างเดียวทุกสิ่งทุกอย่างชี้ไปที่การขยายอายุของแคมเปญก่อนที่จะถูกทำให้เป็นกลางโดยลายเซ็นและกฎการตรวจจับ

ความสามารถทางประวัติศาสตร์: เหนือกว่าเบราว์เซอร์

เมื่อมองย้อนกลับไป XCSSET ไม่ได้จำกัดอยู่แค่การล้างข้อมูลในเบราว์เซอร์เท่านั้น ความสามารถในการ ดึงข้อมูลจากแอปเช่น Google Chromeโอเปร่า, เทเลแกรม, เอเวอร์โน้ต, สไกป์, วีแชท และแอพพลิเคชั่นของ Apple เอง เช่น รายชื่อติดต่อและบันทึกนั่นคือแหล่งข้อมูลต่างๆ ที่รวมถึงข้อความ ผลงานการผลิต และข้อมูลส่วนบุคคล

ในปี 2021 รายงานเช่นของ Jamf อธิบายว่า XCSSET ใช้ประโยชน์อย่างไร CVE-2021-30713 การหลีกเลี่ยงกรอบงาน TCC, ดื่ม ภาพหน้าจอเดสก์ท็อป โดยไม่ต้องขออนุญาต ทักษะนี้สอดคล้องกับวัตถุประสงค์ที่ชัดเจน: สอดแนมและรวบรวมข้อมูลที่ละเอียดอ่อน ด้วยแรงเสียดทานที่น้อยที่สุดต่อผู้ใช้งาน

เมื่อเวลาผ่านไป มัลแวร์ได้รับการปรับให้เหมาะสม ความเข้ากันได้ของ macOS Monterey และด้วยชิป M1 สิ่งหนึ่งที่เน้นย้ำถึง ความต่อเนื่องและการบำรุงรักษาโดยผู้โจมตีจนถึงทุกวันนี้ ที่มาที่แน่ชัดของปฏิบัติการดังกล่าวยังคงไม่ชัดเจน

มันแอบเข้าไปในโครงการ Xcode ได้อย่างไร

การกระจายของ XCSSET ไม่ได้มีรายละเอียดเป็นมิลลิเมตร แต่ทุกอย่างบ่งชี้ว่า ใช้ประโยชน์จากการแบ่งปันโครงการ Xcode ระหว่างนักพัฒนาหากที่เก็บข้อมูลหรือแพ็คเกจถูกบุกรุกแล้ว การสร้างครั้งต่อๆ ไปจะเปิดใช้งานโค้ดที่เป็นอันตราย

รูปแบบนี้ทำให้ทีมพัฒนากลายเป็น เวกเตอร์การแพร่กระจายที่มีสิทธิพิเศษโดยเฉพาะอย่างยิ่งในสภาพแวดล้อมที่มีการตรวจสอบการอ้างอิง สคริปต์การสร้าง หรือเทมเพลตที่ใช้ร่วมกันอย่างหละหลวม เป็นการเตือนใจว่า ห่วงโซ่อุปทานซอฟต์แวร์ ได้กลายเป็นเป้าหมายที่เกิดขึ้นซ้ำๆ

เมื่อพิจารณาสถานการณ์นี้ จึงสมเหตุสมผลที่ตัวแปรใหม่จะเสริมความแข็งแกร่ง ตรรกะในการตัดสินใจว่าควรแทรกเพย์โหลดไว้ตรงไหนภายในโครงการยิ่งตำแหน่งของคุณดู "เป็นธรรมชาติ" มากเท่าใด นักพัฒนาก็จะยิ่งมีโอกาสตรวจพบตำแหน่งนั้นในการสแกนอย่างรวดเร็วน้อยลงเท่านั้น

การโจมตีการยศาสตร์: ข้อผิดพลาด ขั้นตอน และสัญญาณ

Microsoft ได้ประกาศการปรับปรุง XCSSET ไปแล้วเมื่อต้นปีนี้ การจัดการข้อผิดพลาดและความคงอยู่สิ่งสำคัญคือตอนนี้มันเข้ากันได้กับห่วงโซ่การติดเชื้อแบบทีละขั้นตอน: AppleScript ที่เปิดใช้คำสั่งเชลล์ ซึ่งดาวน์โหลด AppleScript สุดท้ายอีกตัวหนึ่ง ซึ่งในทางกลับกัน รวบรวมข้อมูลระบบและเปิดตัวโมดูลย่อย.

หากคุณกำลังมองหาสัญญาณการมีอยู่ของ ~/.zshrc_aliases, การจัดการใน ~/.zshrc, รายการที่น่าสงสัยใน LaunchDaemons หรือ System Settings.app ที่แปลกใน /tmp สิ่งเหล่านี้คือตัวบ่งชี้ที่ต้องระวัง กิจกรรมที่ผิดปกติใดๆ ใน Dock (เช่น เส้นทาง Launchpad ที่ถูกแทนที่) ควรส่งสัญญาณเตือนด้วยเช่นกัน

ในสภาพแวดล้อมที่มีการจัดการ SOC ควรปรับเทียบกฎเกณฑ์ที่ติดตาม osascript ที่ผิดปกติ การเรียก dockutil ซ้ำๆ และสิ่งประดิษฐ์ที่เข้ารหัสหรือเข้ารหัส Base64 เชื่อมโยงกับกระบวนการสร้าง Xcode และใช้เครื่องมือเพื่อ ดูกระบวนการที่กำลังทำงานบน macOSบริบทของการรวบรวมข้อมูลถือเป็นกุญแจสำคัญในการลดผลบวกปลอม

XCSSET กำลังมุ่งเป้าไปที่ใคร?

จุดเน้นตามธรรมชาติคือการพัฒนาหรือคอมไพล์ด้วย Xcode แต่ผลกระทบสามารถขยายไปยังผู้ใช้ที่ ติดตั้งแอปในตัว จากโครงการที่ปนเปื้อน ส่วนทางการเงินปรากฏใน การจี้คลิปบอร์ดโดยเฉพาะอย่างยิ่งมีความเกี่ยวข้องสำหรับผู้ที่จัดการสกุลเงินดิจิทัลเป็นประจำ

ในแวดวงข้อมูล การสกัดกั้นจาก Firefox และแอปอื่น ๆ ทำให้ข้อมูลประจำตัว คุกกี้เซสชัน และบันทึกส่วนตัวตกอยู่ในความเสี่ยง นอกจากนี้ ยังมีความสามารถดั้งเดิมของ ภาพหน้าจอ การเข้ารหัสไฟล์ และบันทึกเรียกค่าไถ่, ภาพก็สมบูรณ์เกินพอแล้ว.

การโจมตีที่ตรวจพบจนถึงขณะนี้ดูเหมือนจะ มีขอบเขตจำกัดแต่บ่อยครั้งที่ขนาดที่แท้จริงของแคมเปญอาจต้องใช้เวลากว่าจะปรากฏ ความเป็นโมดูลช่วยให้สามารถทำซ้ำได้อย่างรวดเร็ว เปลี่ยนชื่อ และ ปรับแต่งอย่างละเอียดเพื่อหลีกเลี่ยงการตรวจจับ.

คำแนะนำเชิงปฏิบัติเพื่อลดความเสี่ยง

อันดับแรก อัพเดทวินัยก่อน: รักษา macOS และแอปให้เป็นปัจจุบัน และพิจารณา โซลูชันป้องกันมัลแวร์XCSSET ได้ใช้ประโยชน์จากช่องโหว่ต่างๆ มากมาย รวมถึงช่องโหว่แบบ zero-day ดังนั้นการอัปเกรดเป็นเวอร์ชันล่าสุดจะช่วยลดพื้นที่การโจมตีได้อย่างมาก

ประการที่สอง ตรวจสอบโครงการ Xcode ให้คุณดาวน์โหลดหรือโคลนจากที่เก็บข้อมูล และระมัดระวังอย่างยิ่งกับสิ่งที่คุณคอมไพล์ ตรวจสอบสคริปต์บิลด์ ขั้นตอนการรันสคริปต์การอ้างอิงและไฟล์ใดๆ ที่ถูกดำเนินการในกระบวนการสร้าง

สาม ระวังกระดานคลิปบอร์ด หลีกเลี่ยงการคัดลอก/วางที่อยู่กระเป๋าเงินที่ไม่ได้รับการยืนยัน: ตรวจสอบตัวอักษรตัวแรกและตัวสุดท้ายอีกครั้งก่อนยืนยันธุรกรรม นี่เป็นเพียงสิ่งเล็กๆ น้อยๆ ที่จะช่วยให้คุณหลีกเลี่ยงปัญหาได้มาก

ประการที่สี่ การวัดระยะไกลและการล่าสัตว์ ตรวจสอบ osascript, dockutil, การเปลี่ยนแปลงใน ~/.zshrc และ LaunchDaemonsหากคุณจัดการกลุ่มผลิตภัณฑ์ ให้รวมกฎ EDR ที่จะตรวจจับ AppleScripts ที่คอมไพล์ผิดปกติหรือการอัปโหลดโค้ดที่ซ้ำซ้อนในกระบวนการสร้าง