微软的威胁研究人员称,XCSSET MACOS恶意软件的新变体已经出现,针对MacOS用户和开发人员有限地攻击。此版本建立在其前身,以窃取信息和注入后门而闻名。
新的XCSSET MACOS恶意软件变体目标开发人员和用户
XCSSET恶意软件通常通过受损的Xcode项目传播,该项目包含Apple集成开发环境(IDE)中应用程序开发中使用的文件和设置。恶意软件已经是持续的威胁已有几年了,以前利用零日漏洞进行恶意活动,例如拍摄屏幕截图和窃取浏览器cookie。当前的变体还可以从注释,渗透系统文件等应用程序中收集数据,并采用增强的混淆技术使分析复杂化的数据。
恶意软件现在结合了新的感染和持久技术。微软的研究人员 著名的 它可以使用诸如目标,规则或odced_strategy之类的方法将其有效载荷放在Xcode项目中。它还可以在构建设置中的target_device_family密钥中插入有效载荷,并在以后执行。持久性机制包括创建一个名为〜/.zshrc_aliases的文件,该文件使用每个新的Shell会话启动有效负载,并从命令和控制服务器下载签名的Dockutil工具来管理Dock项目。
通过创建伪造的启动板应用程序并将合法应用程序在码头中的路径重定向,XCSSET确保每当启动启动板时,真实和恶意有效载荷都执行。这种分布式方法允许恶意软件隐秘地影响更广泛的受害者。
微软报告说,最近的发现是自2022年以来对XCSSET的首次重大更新,强调了代码混淆,持久方法和感染策略的显着改善。研究人员建议开发人员仔细检查和验证从非正式来源克隆的任何Xcode项目,因为恶意因素可能隐藏在其中。
XCSSET通过损害Xcode项目而被认为是精致的模块化恶意软件针对MACOS用户。 XCSSet于2020年8月最初记录在2020年8月,XCSSET已适应损害新的MacOS版本和Apple的M1芯片组。较早的迭代还证明了从各种应用程序中提取数据的能力,包括Google Chrome,Telegram和Apple自己的应用程序(例如联系人和笔记)。
在2021年中,XCSSET的新功能包括利用零日漏洞,特别是CVE-2021-30713,以在没有适当权限的情况下拍摄屏幕截图。该恶意软件的起源仍然未知,最新发现强调了其持续的演变以及对MacOS用户构成的持续威胁。
特色图片来源: 麦芽啤酒/Unsplash
