- Gelişmiş karartma ve çoklu kalıcılığa sahip yeni XCSSET çeşidi (zshrc, Dock ve LaunchDaemon).
- Veri hırsızlığını Firefox'a genişletiyor ve kripto işlemlerini yönlendirmek için Clipper'ı ekliyor pano.
- Paylaşılan Xcode projelerinin enfeksiyonu: Yalnızca çalıştırılabilen AppleScript'ler, yeniden adlandırılan modüller ve C2 sızdırılması.
- Öneriler: macOS'i güncelleyin, projeleri derlemeden önce denetleyin ve osascript/dockutil'i izleyin.
Ailesi kötü amaçlı yazılım macOS için XCSSET geliştirilmiş bir versiyonla geri döndü ve bu hiç de küçük bir başarı değil: Microsoft Threat Intelligence, karartma, kalıcılık ve veri hırsızlığı tekniklerinde önemli değişiklikler tespit etti. Bu eski tanıdıkta çıtayı yükselten bir şey. Xcode ile çalışıyorsanız veya projeleri ekipler arasında paylaşıyorsanız, neler olup bittiğinin farkında olmak isteyeceksiniz.
XCSSET, 2020 yılında keşfedildiğinden beri Apple ekosistemindeki değişikliklere uyum sağlıyor. Şu anda gözlemlenen şey, 2022'den bu yana kamuoyuna açıklanan ilk yeni varyant., sınırlı saldırılarda tespit edildi ancak yetenekleri genişletildi. Bu, derlendiklerinde yükünü çalıştırmak için Xcode projelerine gizlice giren modüler bir kötü amaçlı yazılımdır ve bu yinelemede, kendini kamufle etmek ve varlığını sürdürmek için daha kurnaz taktikler kullanır.
XCSSET nedir ve neden bu kadar hızlı yayılıyor?
XCSSET özünde, kötü amaçlı modüllerin bir kümesidir. Xcode projelerini enfekte edin ve derleme sırasında işlevlerini etkinleştirinEn makul yayılma vektörü, proje dosyalarının iş birliği yapan geliştiriciler arasında paylaşılmasıdır. uygulamalar macOS için, her derlemede yürütme fırsatlarını çoğaltan.
Bu kötü amaçlı yazılım, tarihsel olarak sıfırıncı gün güvenlik açıklarından yararlanabiliyordu. projelere kod enjekte etmek ve hatta Safari gibi Apple ekosisteminin bileşenlerine arka kapılar yerleştirmekGelişimi boyunca macOS ve Apple Silicon (M1) mimarilerinin daha yeni sürümleriyle uyumluluk da eklendi ve bu da dikkate değer bir uyarlanabilirlik gösterdi.
XCSSET, sahada şu şekilde çalışır: bilgi hırsızı ve cryptocurrency: Popüler programlardan (Evernote, Notes, Skype, Telegram, QQ, WeChat ve daha fazlası), sistem ve uygulama dosyalarını sızdırır ve özellikle dijital cüzdanları hedef alır. Ayrıca, bazı varyantlar Yetkisiz ekran görüntüleri, dosya şifreleme ve fidye notu dağıtımı.
Son versiyondaki yenilikler neler?
Microsoft, en son varyantın şunları içerdiğini ayrıntılı olarak açıkladı: Yeni gizleme, kalıcılık ve enfeksiyon stratejileri yöntemleriArtık sadece isim değiştirme veya kod sıkıştırmadan bahsetmiyoruz: Xcode projelerini kirletmek için yüklerini üretme biçiminde artık daha fazla rastgelelik var.
Çarpıcı bir değişiklik, kodlama tekniklerinin bir arada kullanılmasıdır. Önceki sürümler yalnızca xxd'ye (hexdump) dayanırken, Yeni sürüm Base64'ü ekler ve rastgele sayıda yineleme uygularBu da yükün tespit edilmesini ve çözülmesini zorlaştırıyor.
Modüllerin iç adları da her zamankinden daha gizli: Amaçlarını gizlemek için kod düzeyinde gizlenirlerBu durum statik analizi ve sistemdeki fonksiyonlar ile gözlemlenebilir etkiler arasındaki ilişkiyi karmaşıklaştırır.
Kalıcılık: “zshrc” ve “dock” yöntemleri
XCSSET'in bu dönüşünün ayırt edici özelliklerinden biri, enfeksiyondan sonra hayatta kalmak için iki çok farklı yolun olmasıdır. "zshrc" yöntemi, her oturumda otomatik olarak çalışacak şekilde kabuk yapılandırmasından yararlanırve "dock" yöntemi, kötü amaçlı yükü kullanıcıya şeffaf bir şekilde yürütmek için sistem kısayollarını manipüle eder.
"Zshrc" yaklaşımında, kötü amaçlı yazılım, ~/.zshrc_aliases yük ile ve ardından ~/.zshrc dosyasına, her yeni oturum açıldığında dosyanın yüklenmesini sağlayan bir komut ekler. Bu, herhangi bir şüphe uyandırmadan tüm terminallerde kalıcılığı sağlar.
"Dock" planı, komuta ve kontrol sunucusundan imzalı bir aracın indirilmesini içerir, Dock öğelerini yönetmek için dockutilDaha sonra sahte bir Launchpad uygulaması oluşturur ve Dock'taki gerçek Launchpad'e giden yolu bu sahte uygulama ile değiştirir. Sonuç: Kullanıcı Dock'tan Launchpad'i her başlattığında, gerçek uygulama açılır ve paralel olarak, kötü amaçlı yük etkinleştirildi.
Bir takviye olarak, varyant şunu tanıtıyor: Xcode projesinde yükün nereye ekleneceğine karar vermek için yeni kriterlerBu, etkiyi en üst düzeye çıkarır ve geliştiricinin proje ağacını incelerken sıra dışı bir şey fark etme olasılığını en aza indirir.
AppleScript, gizli yürütme ve enfeksiyon zinciri
Microsoft araştırması, XCSSET'in Yalnızca çalıştırma modunda derlenen AppleScript'ler Sessizce çalışmak ve içeriğinin doğrudan analizle açığa çıkmasını engellemek. Bu teknik, görünmezlik ve betik inceleme araçlarından kaçınma hedefiyle uyumludur.
Enfeksiyon zincirinin dördüncü aşamasında, Bir AppleScript uygulaması, son aşamayı indirmek için bir kabuk komutu çalıştırırBu son AppleScript, tehlikeye atılan sistemden bilgi toplar ve yeteneklerin modüler dağıtımını düzenleyen boot() fonksiyonunu çağırarak alt modülleri başlatır.
Mantıksal değişiklikler de tespit edildi: Firefox tarayıcısı için ek kontroller ve Telegram mesajlaşma uygulamasının varlığını doğrulamak için farklı bir yöntem. Bunlar önemsiz ayrıntılar değil; veri toplamayı daha güvenilir hale getirme ve kapsamını genişletme yönündeki açık bir niyeti gösteriyor.
Yeniden adlandırılan modüller ve yeni parçalar
Her revizyonda, XCSSET ailesi modüllerinin adlarını biraz değiştirdi; klasik bir kedi-fare oyunu sürümleri ve imzaları takip etmeyi zorlaştırırYine de işlevselliği genel olarak tutarlı kalmaktadır.
Bu varyantın vurgulanan modülleri arasında şu gibi tanımlayıcılar yer alır: vexyeqj (eski adıyla seizecj), bnk adlı başka bir modülü indirin ve osascript kullanarak çalıştırır. Bu senaryo veri doğrulama, şifreleme, şifre çözme, C2'den ek içerik getirme ve olay günlüğü tutma yeteneklerini ekler ve "clipper" bileşenini içerir.
Ayrıca bahsedilmiştir neq_cdyd_ilvcmwxtxzx_vostfdi'ye benzer, sorumlu olan dosyaları komuta ve kontrol sunucusuna sızdırmak; modül xmyyeqjx hazırlayan LaunchDaemon tabanlı kalıcılık; jey (eskiden jez) bir yapılandırmayı gerçekleştiren Git üzerinden kalıcılık; ve iewmilh_cdyd, Firefox'tan verileri çalmak için halka açık HackBrowserData aracının değiştirilmiş bir versiyonunu kullanan bir yazılımdır.
- vexyeqj: bilgi modülü; indir ve kullan bnk, kesme ve şifrelemeyi entegre eder.
- neq_cdyd_ilvcmwx: dosyaların C2'ye sızdırılması.
- xmyyeqjx: LaunchDaemon tarafından kalıcılık.
- jey: Git üzerinden kalıcılık.
- iewmilh_cdyd: HackBrowserData'nın değiştirilmiş hali ile Firefox veri hırsızlığı.
Firefox'a odaklanmak özellikle önemlidir, çünkü Chromium ve Safari'nin ötesine uzanıyorBu, potansiyel kurban yelpazesinin arttığı ve kimlik bilgisi ve çerez çıkarma tekniklerinin birçok tarayıcı motoru için geliştirildiği anlamına geliyor.
Pano ele geçirme yöntemiyle kripto para hırsızlığı
Bu evrimde en çok endişe duyulan yeteneklerden biri de “clipper” modülüdür. Kripto para birimi adresleriyle eşleşen düzenli ifadeler için panoyu izler (çeşitli cüzdan formatları). Bir eşleşme tespit eder etmez, adresi hemen saldırganın kontrol ettiği adresle değiştirir.
Bu saldırının yıkıcı sonuçlar doğurması için ayrıcalıkların yükseltilmesi gerekmiyor: Mağdur, adresini cüzdanından kopyalar, para göndermek için yapıştırır ve farkında olmadan saldırgana aktarırMicrosoft ekibinin de belirttiği gibi bu durum, kopyalama ve yapıştırma gibi temel bir şeye olan güveni zedeliyor.
Kırpıcı ve tarayıcı veri hırsızlığının birleşimi XCSSET'i bir Kripto varlıklara odaklanan siber suçlular için pratik bir tehditKurbanın görünür bakiyesine çok geç olana kadar dokunmadan oturum çerezlerini, kaydedilmiş şifreleri elde edebilir ve hatta işlemleri yeniden yönlendirebilirler.
Diğer ısrar ve kamuflaj taktikleri
Microsoft, "zshrc" ve "dock"a ek olarak, bu varyantın şunları eklediğini açıklıyor: ~/.root'ta bir yükü çalıştıran LaunchDaemon girişleriBu mekanizma, erken ve istikrarlı bir başlatmayı garanti altına alır ve arka planda yüklenen sistem servislerinin karmaşası arasında kendini kamufle eder.
Bir yaratılışı da gözlemlendi Sahte Sistem Ayarları.uygulaması /tmp'deBu, kötü amaçlı yazılımların meşru bir sistem uygulaması kisvesi altında etkinliğini gizlemesine olanak tanır. Bu tür bir taklit, rastgele yürütme sırasında işlemleri veya yolları incelerken şüphe uyandırmamaya yardımcı olur.
Paralel olarak, XCSSET'in karartma çalışmaları yeniden gündemde: Daha gelişmiş şifreleme, rastgele modül adları ve yalnızca çalıştırılabilen AppleScript'lerHer şey, imzalar ve tespit kuralları tarafından etkisiz hale getirilmeden önce kampanyanın ömrünün uzatılmasına işaret ediyor.
Tarihsel yetenekler: tarayıcının ötesinde
Geriye dönüp baktığımızda, XCSSET'in yalnızca tarayıcıları boşaltmakla sınırlı olmadığını görüyoruz. gibi uygulamalardan veri çıkarın Google Chrome, Opera, Telegram, Evernote, Skype, WeChat ve Apple'ın kendi uygulamaları gibi İletişim ve NotlarYani mesajlaşma, üretkenlik ve kişisel verileri içeren bir kaynak yelpazesi.
2021'de Jamf'inki gibi raporlar, XCSSET'in nasıl kullanıldığını açıkladı CVE-2021-30713, bir TCC çerçeve atlama, içmek masaüstü ekran görüntüleri İzin almadan. Bu beceri, net bir hedefe uygundur: hassas materyalleri casusluk yaparak ve toplayarak kullanıcı için minimum sürtünme ile.
Zamanla kötü amaçlı yazılım şu şekilde ayarlandı: macOS Monterey uyumluluğu ve M1 çipleriyle, bunun altını çizen bir şey saldırganlar tarafından süreklilik ve bakımOperasyonun tam olarak nereden kaynaklandığı bugüne kadar tam olarak anlaşılamamıştır.
Xcode projelerine nasıl sızıyor?
XCSSET'in dağılımı milimetreye kadar ayrıntılı değil, ancak her şey şunu gösteriyor: Geliştiriciler arasında Xcode proje paylaşımından yararlanınBir depo veya paket zaten tehlikeye atılmışsa, daha sonraki herhangi bir derleme kötü amaçlı kodu etkinleştirir.
Bu model, geliştirme ekiplerini şu şekilde dönüştürüyor: ayrıcalıklı yayılma vektörleri, özellikle gevşek bağımlılık kontrol uygulamaları, derleme betikleri veya paylaşılan şablonların olduğu ortamlarda. Bu, şunu hatırlatır: yazılım tedarik zinciri tekrarlayan bir hedef haline geldi.
Bu senaryo göz önüne alındığında, yeni varyantın güçlendirmesi mantıklıdır. Proje içerisinde yüklerin nereye yerleştirileceğine karar verme mantığıKonumunuz ne kadar "doğal" görünürse, bir geliştiricinin onu hızlı bir taramada fark etme olasılığı o kadar az olur.
Saldırı ergonomisi: hatalar, aşamalar ve işaretler
Microsoft, bu yılın başlarında XCSSET'e yönelik iyileştirmeleri duyurmuştu. hata yönetimi ve kalıcılıkÖnemli olan, bunun artık adım adım ilerleyen bir enfeksiyon zincirine uymasıdır: bir kabuk komutu başlatan, daha sonra başka bir son AppleScript indiren ve daha sonra da sistem bilgilerini toplar ve alt modülleri başlatır.
Eğer işaretler arıyorsanız, varlığı ~/.zshrc_aliases, ~/.zshrc'deki manipülasyonlar, LaunchDaemons'daki şüpheli girdiler veya /tmp'deki garip bir Sistem Ayarları.uygulaması Bunlar dikkat edilmesi gereken göstergelerdir. Dock'ta herhangi bir anormal etkinlik (örneğin, değiştirilen Launchpad yolları) da alarmları tetiklemelidir.
Yönetilen ortamlarda, SOC'ler aşağıdakileri takip eden kuralları kalibre etmelidir: Olağandışı osascript, dockutil'e tekrarlanan çağrılar ve Base64 kodlu veya şifrelenmiş eserler Xcode derleme süreçlerine bağlı ve araçları kullanan macOS'ta çalışan işlemleri görüntülemeDerlemenin bağlamı, yanlış pozitifleri azaltmada anahtar rol oynar.
XCSSET kimleri hedefliyor?
Doğal odak noktası Xcode ile geliştirme yapan veya derleme yapanlardır, ancak etki şu kullanıcılara da uzanabilir: yerleşik uygulamaları yükleyin Kirlenmiş projelerden. Finansal kısım ise panoya el koymaÖzellikle kripto paralarla düzenli olarak işlem yapanlar için oldukça önemli.
Veri alanında, Firefox ve diğer uygulamalardan sızma kimlik bilgilerini, oturum çerezlerini ve kişisel notları riske atar. Buna, eski yetenekleri de ekleyin. ekran görüntüleri, dosya şifrelemesi ve fidye notları, resim fazlasıyla tamamlanmış.
Şu ana kadar tespit edilen saldırılar, kapsamı sınırlıAncak çoğu zaman olduğu gibi, kampanyanın gerçek ölçeğinin ortaya çıkması zaman alabilir. Modülerlik, hızlı yinelemeleri, isim değişikliklerini ve tespit edilmekten kaçınmak için ince ayar.
Riski azaltmak için pratik öneriler
Öncelikle disiplini güncelleyelim: macOS ve uygulamaları güncel tutun ve düşün kötü amaçlı yazılım önleme çözümleriXCSSET, sıfırıncı gün de dahil olmak üzere güvenlik açıklarını zaten istismar ediyordu, bu nedenle en son sürüme yükseltme yapmak saldırı yüzeyini önemli ölçüde azaltıyor.
İkincisi, Xcode projelerini inceleyin depolarından indirdiğiniz veya kopyaladığınız içeriklere dikkat edin ve derlediğiniz içerikler konusunda son derece dikkatli olun. Derleme betiklerini inceleyin, Komut Dosyası Aşamalarını Çalıştır, bağımlılıklar ve derleme sürecinde yürütülen tüm dosyalar.
Üçüncüsü, panoya dikkat edin. Doğrulanmamış cüzdan adreslerini kopyalayıp yapıştırmaktan kaçının: İşlemleri onaylamadan önce ilk ve son karakterleri iki kez kontrol edin. Bu, sizi birçok dertten kurtarabilecek küçük bir harekettir.
Dördüncüsü, telemetri ve avcılık. Osascript, dockutil, ~/.zshrc'deki değişiklikler ve LaunchDaemons'u izlerFiloları yönetiyorsanız, derleme süreçlerinde sıra dışı derlenmiş AppleScript'leri veya tekrarlanan kodlanmış yüklemeleri algılayan EDR kurallarını dahil edin.
Genel olarak bayt ve teknoloji dünyası hakkında tutkulu bir yazar. Bilgilerimi yazarak paylaşmayı seviyorum ve bu blogda da bunu yapacağım; size gadget'lar, yazılım, donanım, teknolojik trendler ve daha fazlasıyla ilgili en ilginç şeyleri göstereceğim. Amacım dijital dünyada basit ve eğlenceli bir şekilde gezinmenize yardımcı olmaktır.