- Bagong variant ng XCSSET na may advanced obfuscation at multiple persistence (zshrc, Dock at LaunchDaemon).
- Pinapalawak ang pagnanakaw ng data sa Firefox at nagdaragdag ng clipper upang ilihis ang mga transaksyong crypto mula sa clipboard.
- Impeksyon ng mga nakabahaging proyekto ng Xcode: Mga Run-only na AppleScript, pinalitan ang pangalan ng mga module, at C2 exfiltration.
- Mga Rekomendasyon: I-update ang macOS, pag-audit ng mga proyekto bago bumuo, at subaybayan ang osascript/dockuli.
Ang pamilya ng malware Ang XCSSET para sa macOS ay bumalik na may pinahusay na variant, at ito ay hindi maliit na gawa: Natukoy ng Microsoft Threat Intelligence ang mga makabuluhang pagbabago sa obfuscation, persistence, at mga diskarte sa pagnanakaw ng data. na nagtataas ng bar sa matandang kakilala na ito. Kung nagtatrabaho ka sa Xcode o nagbabahagi ng mga proyekto sa pagitan ng mga koponan, gugustuhin mong manatiling nakakaalam kung ano ang nangyayari.
Mula noong natuklasan ito noong 2020, ang XCSSET ay umaangkop sa mga pagbabago sa Apple ecosystem. Ang inoobserbahan ngayon ay ang unang pampublikong dokumentado na bagong variant mula noong 2022., nakita sa mga limitadong pag-atake ngunit may pinalawak na mga kakayahan. Ito ay isang modular malware na pumapasok sa mga proyekto ng Xcode upang maisagawa ang payload nito kapag pinagsama-sama ang mga ito, at sa pag-ulit na ito, isinasama nito ang mas tusong mga taktika para i-camouflage ang sarili nito at magpatuloy.
Ano ang XCSSET at bakit ito kumakalat nang husto?
Sa esensya, ang XCSSET ay isang set ng mga malisyosong module na idinisenyo upang makahawa sa mga proyekto ng Xcode at i-activate ang kanilang mga function sa panahon ng buildAng pinaka-kapani-paniwalang vector ng pagpapalaganap ay ang pagbabahagi ng mga file ng proyekto sa pagitan ng mga nagtutulungang developer. app para sa macOS, na nagpaparami ng mga pagkakataon sa pagpapatupad sa bawat build.
Ang malware na ito sa kasaysayan ay nakapagsamantala ng mga zero-day na kahinaan, mag-inject ng code sa mga proyekto at kahit na ipakilala ang mga backdoor sa mga bahagi ng Apple ecosystem gaya ng SafariSa buong ebolusyon nito, nagdagdag din ito ng pagiging tugma sa mga mas bagong bersyon ng macOS at Apple Silicon (M1) na mga arkitektura, na nagpapakita ng kahanga-hangang kakayahang umangkop.
Sa lupa, gumagana ang XCSSET bilang magnanakaw ng impormasyon at cryptocurrencies: ay nakakakolekta ng data mula sa mga sikat na programa (Evernote, Notes, Skype, Telegram, QQ, WeChat at higit pa), i-exfiltrate ang mga file ng system at application, at partikular na i-target ang mga digital wallet. Bilang karagdagan, ang ilang mga variant ay nagpakita Mga hindi awtorisadong screenshot, pag-encrypt ng file, at pag-deploy ng ransom note.
Ano ang bago sa pinakabagong variant
Idinetalye ng Microsoft na isinasama ang pinakabagong variant Mga bagong paraan ng obfuscation, pagtitiyaga at mga diskarte sa impeksyon. Hindi na lang tungkol sa pagpapalit ng pangalan o code compression ang pinag-uusapan natin: mayroon na ngayong mas randomness sa paraan ng pagbuo nito ng mga payload nito upang mahawahan ang mga proyekto ng Xcode.
Ang isang kapansin-pansing pagbabago ay ang pinagsamang paggamit ng mga diskarte sa coding. Habang ang mga nakaraang pag-ulit ay umaasa lamang sa xxd (hexdump), Ang bagong bersyon ay nagdaragdag ng Base64 at naglalapat ng random na bilang ng mga pag-ulit, na nagpapahirap sa pagtukoy at pag-alis ng kargamento.
Ang mga panloob na pangalan ng mga module ay mas nakatago kaysa dati: Sila ay na-obfuscate sa antas ng code upang itago ang kanilang layuninPinapalubha nito ang static na pagsusuri at ang ugnayan sa pagitan ng mga function at mga nakikitang epekto sa system.
Pagtitiyaga: "zshrc" at "dock" na pamamaraan
Ang isa sa mga tanda ng pagbabalik na ito ng XCSSET ay dalawang magkaibang landas upang manatiling buhay pagkatapos ng impeksiyon. Ginagamit ng pamamaraang "zshrc" ang configuration ng shell upang awtomatikong tumakbo sa bawat session, at ang "dock" na paraan ay minamanipula ang mga shortcut ng system upang malinaw na maisagawa ang nakakahamak na payload sa user.
Sa diskarteng "zshrc", ang malware ay lumilikha ng isang file na tinatawag ~/.zshrc_aliases kasama ang payload at pagkatapos ay nagdadagdag ng command sa ~/.zshrc na nagsisiguro na ang file ay na-load sa tuwing magbubukas ang isang bagong session. Tinitiyak nito ang pagtitiyaga sa lahat ng mga terminal nang hindi nagtataas ng anumang halatang hinala.
Ang planong "dock" ay nagsasangkot ng pag-download ng isang nilagdaang tool mula sa command at control server, dockutil, upang pamahalaan ang mga elemento ng Dock. Lumilikha ito ng pekeng Launchpad app at pinapalitan ang landas patungo sa lehitimong Launchpad sa Dock gamit ang pekeng app na iyon. Resulta: sa tuwing ilulunsad ng user ang Launchpad mula sa Dock, bubukas ang tunay at, kasabay, ang malisyosong kargamento ay isinaaktibo.
Bilang isang pampalakas, ipinakilala ang variant Bagong pamantayan para sa pagpapasya kung saan sa Xcode project ilalagay ang payloadIno-optimize nito ang epekto at pinapaliit ang pagkakataon ng developer na makakita ng hindi pangkaraniwang bagay kapag sinusuri ang project tree.
AppleScript, stealth execution, at infection chain
Inilalarawan ng pananaliksik ng Microsoft na ginagamit ng XCSSET AppleScripts pinagsama-sama sa run-only mode upang tumakbo nang tahimik at maiwasan ang direktang pagsusuri mula sa pagbubunyag ng mga nilalaman nito. Ang diskarteng ito ay umaangkop sa layunin nitong invisibility at pag-iwas sa mga tool sa pag-inspeksyon ng script.
Sa ika-apat na yugto ng kadena ng impeksyon, naobserbahan iyon Ang isang AppleScript application ay nagpapatakbo ng isang shell command upang i-download ang huling yugtoAng panghuling AppleScript na ito ay nangangalap ng impormasyon mula sa nakompromisong system at mga boots na submodules sa pamamagitan ng paggamit ng boot() function, na nag-oorchestrate sa modular na pag-deploy ng mga kakayahan.
Natukoy din ang mga pagbabago sa lohika: Mga karagdagang pagsusuri para sa Firefox browser at ibang paraan para sa pagkumpirma ng pagkakaroon ng Telegram messaging app. Ang mga ito ay hindi maliliit na detalye; ang mga ito ay nagpapahiwatig ng isang malinaw na intensyon na gawing mas maaasahan ang pangongolekta ng data at palawakin ang saklaw nito.
Pinalitan ang pangalan ng mga module at mga bagong bahagi
Sa bawat rebisyon, bahagyang binago ng pamilya XCSSET ang mga pangalan ng mga module nito, isang klasikong larong pusa at daga upang gawin itong mahirap na subaybayan ang mga bersyon at lagda. Gayunpaman, ang pag-andar nito sa pangkalahatan ay nananatiling pare-pareho.
Kabilang sa mga naka-highlight na module ng variant na ito ay lumilitaw ang mga identifier gaya ng vexyeqj (dating seizecj), na mag-download ng isa pang module na tinatawag na bnk at pinapatakbo ito gamit ang osascript. Ito script nagdaragdag ng pagpapatunay ng data, pag-encrypt, pag-decryption, pagkuha ng karagdagang nilalaman mula sa C2, at mga kakayahan sa pag-log ng kaganapan, at kasama ang bahagi ng "clipper".
Nabanggit din neq_cdyd_ilvcmwx, katulad ng txzx_vostfdi, na responsable para sa i-exfiltrate ang mga file sa command at control server; ang modyul xmyyeqjx na naghahanda sa LaunchDaemon-based na pagtitiyaga; hay nako (dating jez) na nagko-configure ng a pagtitiyaga sa pamamagitan ng Git; at iewmilh_cdyd, responsable sa pagnanakaw ng data mula sa Firefox gamit ang isang binagong bersyon ng pampublikong tool na HackBrowserData.
- vexyeqj: module ng impormasyon; i-download at gamitin BNK, isinasama ang clipper at encryption.
- neq_cdyd_ilvcmwx: exfiltration ng mga file sa C2.
- xmyyeqjx: pagpupursige ng LaunchDaemon.
- hay nako: pagtitiyaga sa pamamagitan ng Git.
- iewmilh_cdyd: Pagnanakaw ng data ng Firefox na may binagong HackBrowserData.
Ang pagtuon sa Firefox ay partikular na may kaugnayan, dahil nagpapalawak ng abot na lampas sa Chromium at SafariNangangahulugan ito na dumarami ang hanay ng mga potensyal na biktima, at ang mga diskarte sa pagkuha ng kredensyal at cookie ay pinipino para sa maraming mga engine ng browser.
Pagnanakaw ng Cryptocurrency gamit ang pag-hijack ng clipboard
Ang isa sa mga kakayahan ng pinakamalaking pag-aalala sa ebolusyon na ito ay ang "clipper" module. Sinusubaybayan ang clipboard para sa mga regular na expression na tumutugma sa mga address ng cryptocurrency (iba't ibang mga format ng wallet). Sa sandaling makakita ito ng tugma, agad nitong papalitan ang address ng isang kontrolado ng umaatake.
Ang pag-atake na ito ay hindi nangangailangan ng mataas na mga pribilehiyo upang magdulot ng kalituhan: Kinokopya ng biktima ang kanilang address mula sa kanilang wallet, i-paste ito upang magpadala ng mga pondo, at hindi namamalayang inilipat ito sa umaatake.Gaya ng itinuro ng koponan ng Microsoft, sinisira nito ang pagtitiwala sa isang bagay na kasinghalaga ng pagkopya at pag-paste.
Ang kumbinasyon ng clipper at browser data theft ay ginagawang XCSSET a Isang praktikal na banta sa mga cybercriminal na nakatuon sa mga asset ng cryptoMaaari silang makakuha ng cookies ng session, naka-save na mga password, at kahit na mag-redirect ng mga transaksyon nang hindi hinahawakan ang nakikitang balanse ng biktima hanggang sa huli na.
Iba pang mga taktika ng pagtitiyaga at pagbabalatkayo
Bilang karagdagan sa "zshrc" at "dock," inilalarawan ng Microsoft na nagdaragdag ang variant na ito LaunchDaemon entries na nagpapatupad ng payload sa ~/.rootTinitiyak ng mekanismong ito ang isang maaga at matatag na startup at ibinabalat ang sarili nito sa gusot ng mga serbisyo ng system na naglo-load sa background.
Ang paglikha ng isang ay naobserbahan din Spoofed System Settings.app sa /tmp, na nagpapahintulot sa malware na itago ang aktibidad nito sa ilalim ng pagkukunwari ng isang lehitimong system app. Ang ganitong uri ng pagpapanggap ay nakakatulong na maiwasan ang paghihinala kapag nag-iinspeksyon ng mga proseso o landas sa panahon ng random na pagpapatupad.
Kasabay nito, ang obfuscation work ng XCSSET ay bumalik sa spotlight: Mas sopistikadong pag-encrypt, random na pangalan ng module, at run-only na AppleScriptsAng lahat ay tumutukoy sa pagpapahaba ng habang-buhay ng kampanya bago ito ma-neutralize ng mga lagda at mga panuntunan sa pagtuklas.
Mga makasaysayang kakayahan: lampas sa browser
Sa pagbabalik-tanaw, ang XCSSET ay hindi lang limitado sa pag-alis ng laman ng mga browser. Ang kakayahan nitong kunin ang data mula sa mga app tulad ng Google Chrome, Opera, Telegram, Evernote, Skype, WeChat at sariling mga aplikasyon ng Apple tulad ng Mga Contact at TalaIbig sabihin, isang hanay ng mga mapagkukunan na kinabibilangan ng pagmemensahe, pagiging produktibo, at personal na data.
Noong 2021, inilarawan ng mga ulat tulad ng Jamf kung paano pinagsamantalahan ang XCSSET CVE-2021-30713, isang TCC framework bypass, uminom mga screenshot sa desktop nang hindi humihingi ng pahintulot. Ang kasanayang ito ay umaangkop sa isang malinaw na layunin: espiya at mangolekta ng sensitibong materyal na may kaunting alitan para sa gumagamit.
Sa paglipas ng panahon, inayos ang malware sa pagiging tugma ng macOS Monterey at sa M1 chips, isang bagay na nagsalungguhit nito pagpapatuloy at pagpapanatili ng mga umaatakeHanggang ngayon, hindi pa rin malinaw ang eksaktong pinagmulan ng operasyon.
Paano ito nakakapasok sa mga proyekto ng Xcode
Ang pamamahagi ng XCSSET ay hindi detalyado sa milimetro, ngunit ang lahat ay nagpapahiwatig na Samantalahin ang pagbabahagi ng proyekto ng Xcode sa pagitan ng mga developerKung nakompromiso na ang isang repositoryo o package, ang anumang kasunod na build ay mag-a-activate sa malisyosong code.
Ang pattern na ito ay nagiging mga development team privileged propagation vectors, lalo na sa mga kapaligiran na may mahinang mga kasanayan sa pagsusuri sa dependency, bumuo ng mga script, o nakabahaging mga template. Ito ay isang paalala na ang kadena ng supply ng software ay naging isang paulit-ulit na target.
Dahil sa sitwasyong ito, makatuwiran na ang bagong variant ay nagpapatibay ang lohika para sa pagpapasya kung saan maglalagay ng mga payload sa loob ng proyektoKung mas "natural" ang lalabas sa iyong lokasyon, mas maliit ang posibilidad na makita ito ng developer sa isang mabilis na pag-scan.
Ergonomya ng pag-atake: mga pagkakamali, yugto at palatandaan
Inihayag na ng Microsoft ang mga pagpapabuti sa XCSSET mas maaga sa taong ito. pamamahala ng error at pagtitiyaga. Ang mahalagang bagay ay umaangkop na ito sa sunud-sunod na chain ng impeksyon: isang AppleScript na naglulunsad ng shell command, na nagda-download ng isa pang huling AppleScript, na siya namang nangangalap ng impormasyon ng system at naglulunsad ng mga submodules.
Kung naghahanap ka ng mga palatandaan, ang pagkakaroon ng ~/.zshrc_aliases, mga manipulasyon sa ~/.zshrc, mga kahina-hinalang entry sa LaunchDaemons, o isang kakaibang System Settings.app sa /tmp Ito ang mga indicator na dapat bantayan. Ang anumang maanomalyang aktibidad sa Dock (hal., pinalitan ang mga landas ng Launchpad) ay dapat ding mag-trigger ng mga alarma.
Sa mga pinamamahalaang kapaligiran, dapat i-calibrate ng mga SOC ang mga panuntunang sinusunod Hindi pangkaraniwang osascript, paulit-ulit na tawag sa dockutil, at Base64-encode o naka-encrypt na artifact naka-link sa mga proseso ng pagbuo ng Xcode at gumamit ng mga tool upang tingnan ang mga tumatakbong proseso sa macOS. Ang konteksto ng compilation ay susi sa pagbabawas ng mga maling positibo.
Sino ang tina-target ng XCSSET?
Ang natural na pokus ay ang pagbuo o pag-compile sa Xcode, ngunit ang epekto ay maaaring umabot sa mga gumagamit na mag-install ng mga built-in na app mula sa mga kontaminadong proyekto. Ang pinansiyal na piraso ay lilitaw sa pag-hijack ng clipboard, lalo na may kaugnayan sa mga regular na humahawak ng mga cryptocurrencies.
Sa larangan ng data, ang exfiltration mula sa Firefox at iba pang apps nilalagay sa panganib ang mga kredensyal, session cookies, at personal na tala. Idagdag dito ang mga legacy na kakayahan ng mga screenshot, file encryption, at ransom notes, ang larawan ay higit pa sa kumpleto.
Ang mga pag-atake na nakita sa ngayon ay tila limitado sa saklaw, ngunit gaya ng kadalasang nangyayari, ang totoong sukat ng kampanya ay maaaring tumagal ng oras upang lumitaw. Pinapadali ng modularity ang mabilis na pag-ulit, pagbabago ng pangalan, at fine-tuning para maiwasan ang detection.
Mga praktikal na rekomendasyon para mabawasan ang panganib
Una, i-update ang disiplina: Panatilihing napapanahon ang macOS at mga app at isaalang-alang mga solusyon sa antimalware. Sinamantala na ng XCSSET ang mga kahinaan, kabilang ang mga zero-day, kaya ang pag-upgrade sa pinakabagong bersyon ay makabuluhang binabawasan ang pag-atake.
Pangalawa, siyasatin ang mga proyekto ng Xcode na iyong ida-download o i-clone mula sa mga repositoryo, at maging lubhang maingat sa iyong kino-compile. Suriin ang mga build script, Patakbuhin ang Mga Phase ng Script, dependencies at anumang mga file na isinasagawa sa proseso ng pagbuo.
Pangatlo, mag-ingat sa clipboard. Iwasan ang pagkopya/pag-paste ng mga hindi na-verify na address ng wallet: I-double check ang una at huling mga character bago kumpirmahin ang mga transaksyon. Ito ay isang maliit na kilos na makapagliligtas sa iyo ng maraming problema.
Pang-apat, telemetry at pangangaso. Sinusubaybayan ang osascript, dockutil, mga pagbabago sa ~/.zshrc, at LaunchDaemonsKung namamahala ka ng mga fleet, isama ang mga panuntunan sa EDR na nakakatuklas ng mga hindi pangkaraniwang pinagsama-samang AppleScript o mga paulit-ulit na naka-code na pag-upload sa mga proseso ng pagbuo.
Masigasig na manunulat tungkol sa mundo ng mga byte at teknolohiya sa pangkalahatan. Gustung-gusto kong ibahagi ang aking kaalaman sa pamamagitan ng pagsusulat, at iyon ang gagawin ko sa blog na ito, ipakita sa iyo ang lahat ng mga pinaka-kagiliw-giliw na bagay tungkol sa mga gadget, software, hardware, teknolohikal na uso, at higit pa. Ang layunin ko ay tulungan kang mag-navigate sa digital na mundo sa simple at nakakaaliw na paraan.