HackerNews 编译,转载请注明出处:
微软威胁情报团队近日宣布,他们发现了一种新的 XCSSET 恶意软件变体,该变体在野外的有限攻击中被发现。
“这是自 2022 年以来已知的首个 XCSSET 变体,具有增强的混淆方法、更新的持久性机制和新的感染策略,”微软威胁情报团队在 X 上的一篇帖子中表示。
这些增强功能增加了该恶意软件家族之前已知的能力,例如针对数字钱包、从 Notes 应用程序收集数据以及窃取系统信息和文件。
XCSSET 是一种复杂的模块化 macOS 恶意软件,已知会通过感染 Apple Xcode 项目来攻击用户。它最初在 2020 年 8 月由趋势科技记录。
随后的恶意软件迭代被发现能够适应新的 macOS 版本以及苹果自家的 M1 芯片。2021 年年中,这家网络安全公司指出,XCSSET 已经更新,可以从各种应用程序(如 Google Chrome、Telegram、Evernote、Opera、Skype、WeChat 以及苹果自家的 Contacts 和 Notes 应用程序)中窃取数据。
Jamf 同一时间的另一份报告揭示了该恶意软件利用 CVE-2021-30713(一个 Transparency、Consent 和 Control (TCC) 框架绕过漏洞)作为零日漏洞,在不需要额外权限的情况下截取受害者桌面的屏幕截图。
一年多后,它再次更新,增加了对 macOS Monterey 的支持。截至目前,该恶意软件的起源仍未知。
微软的最新发现标志着自 2022 年以来的首次重大修订,采用了改进的混淆方法和持久性机制,旨在挑战分析工作,并确保每次启动新的 shell 会话时恶意软件都会被启动。
XCSSET 建立持久性的另一种新方法是从未知的命令和控制服务器下载签名的 dockutil 实用程序,以管理 dock 项目。
“恶意软件随后创建一个假的 Launchpad 应用程序,并将合法 Launchpad 在 dock 中的路径条目替换为这个假的条目,”微软表示,“这确保了每次从 dock 启动 Launchpad 时,合法的 Launchpad 和恶意负载都会被执行。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
