Een nieuwe variant van de XCSSet MacOS -malware is ontstaan, gericht op macOS -gebruikers en ontwikkelaars in beperkte aanvallen, volgens Microsoft’s Threat Researchers. Deze versie bouwt voort op zijn voorgangers, bekend om het stelen van informatie en het injecteren van achterdeuren.
Nieuwe XCSSet MacOS Malwarevariant richt zich op ontwikkelaars en gebruikers
XCSSet -malware verspreidt zich meestal door gecompromitteerde Xcode -projecten, die bestanden en instellingen bevatten die worden gebruikt in de app -ontwikkeling met Apple’s Integrated Development Environment (IDE). De malware is al enkele jaren een aanhoudende bedreiging, die eerder zero-day kwetsbaarheden voor kwaadaardige activiteiten benutten, zoals het maken van screenshots en het stelen van browserkoekjes. De huidige variant kan ook gegevens verzamelen van apps zoals notities, exfiltraat -systeembestanden en digitale portefeuilles target, terwijl ze verbeterde obfuscatietechnieken gebruiken die de analyse compliceren.
De malware bevat nu nieuwe infectie- en persistentietechnieken. Microsoft’s onderzoekers opgemerkt dat het zijn payload in een Xcode -project kan plaatsen met behulp van methoden zoals Target, Rule of Forced_Strategy. Het kan ook de payload invoegen in de sleutel Target_Device_Family in Build -instellingen en deze in een latere fase uitvoeren. De persistentiemechanismen omvatten het maken van een bestand met de naam ~/.zshrc_aliases dat de payload met elke nieuwe shell-sessie start en het downloaden van een gesigneerde dockutil-tool van een command-and-controler-server om dockitems te beheren.
Door een nep -launchpad -applicatie te maken en het pad van de legitieme applicatie in het dok te omarmen, zorgt XCSSet ervoor dat zowel de echte als de kwaadaardige payloads worden uitgevoerd wanneer het launchpad wordt gelanceerd. Deze gedistribueerde methode stelt de malware in staat om heimelijk een breder scala aan slachtoffers te beïnvloeden.
Deze stoomspel zit vol met malware: heb je hem gedownload?
Microsoft meldde dat de recente bevindingen de eerste belangrijke update van XCSSet sinds 2022 vertegenwoordigen, wat significante verbeteringen in codeverdrijf, persistentiemethoden en infectiestrategieën benadrukt. Onderzoekers adviseren ontwikkelaars om zorgvuldig alle XCODE -projecten uit onofficiële bronnen te inspecteren en te verifiëren, omdat kwaadaardige elementen binnen kunnen worden verborgen.
XCSSet wordt herkend als geavanceerde modulaire malware die zich richt op macOS -gebruikers door Xcode -projecten in gevaar te brengen. Aanvankelijk gedocumenteerd in augustus 2020 door Trend Micro, heeft XCSSet aangepast om nieuwere macOS -versies en de M1 -chipsets van Apple te compromitteren. Eerdere iteraties hadden ook de mogelijkheid aangetoond om gegevens uit verschillende applicaties te extraheren, waaronder Google Chrome, Telegram en Apple’s eigen apps zoals contacten en notities.
Medio 2021 omvatten nieuwe functies van XCSSet het benutten van een nul-daagse kwetsbaarheid, met name CVE-2021-30713, om screenshots te maken zonder de juiste machtigingen. De oorsprong van deze malware blijft onbekend, met de nieuwste bevindingen die de voortdurende evolutie benadrukken en de aanhoudende bedreigingen die het voor macOS -gebruikers vormt.
Uitgelichte afbeeldingskrediet: Ales nesetril/unsplash
