微软的威胁研究人员在 “有限的攻击活动中” 发现了一种新型且经过改进的、针对苹果操作系统(macOS)的 XCSSET 恶意软件变种。针对苹果操作系统(macOS)的 XCSSET 恶意软件XCSSET 是一种针对苹果电脑(Mac)用户的、兼具信息窃取和后门植入功能的恶意软件。它通常通过受感染的 Xcode 项目进行传播 ——Xcode 项目是一组文件、设置和配置的集合,这些内容构成了使用 Xcode(苹果公司官方针对 macOS 系统的集成开发环境(IDE))开发的应用程序或框架。这种威胁已经存在多年了。以往的变种甚至利用零日漏洞来实施一些恶意行为。众所周知,它能够进行屏幕截图、窃取浏览器的 Cookie 以及其他数据,还能从诸如 Telegram、微信、印象笔记等应用程序中获取数据。微软目前发现的这个变种显然还能够从 “备忘录” 应用程序中收集数据、窃取系统信息和文件,并且将目标对准了数字钱包。增强后的混淆手段使得对该恶意软件的分析变得更加困难。新的感染方式和持续存在技术XCSSET 这种恶意软件似乎专门针对特定的一部分 macOS 用户:软件开发人员。“其采用的传播方式只能用‘巧妙’来形容,” 趋势科技的研究人员在首次发现 XCSSET 时说道。“受影响的开发人员会在不知不觉中,以受感染的 Xcode 项目的形式将恶意木马传播给他们的用户,而用于验证所分发文件的方法(比如检查哈希值)也无济于事,因为开发人员根本不知道自己在分发恶意文件。”微软的研究人员发现,这个新变种具备了新的感染技术。“[它]引入了新的方法来确定在目标 Xcode 项目中放置有效载荷的位置。该方法从以下选项中选择其一:‘目标(TARGET)’、‘规则(RULE)’或‘强制策略(FORCED_STRATEGY)’。另外一种方法是将有效载荷放置在构建设置下的‘目标设备系列(TARGET_DEVICE_FAMILY)’键中,并在后续阶段运行。”该恶意软件还采用了新的持续存在机制:1.它会创建一个名为~/.zshrc_aliases 的文件,其中包含有效载荷,并在该文件中附加一条命令,以便在每次启动新的 shell 会话时运行该有效载荷。2.它会从命令控制服务器下载一个已签名的 dockutil 工具来管理程序坞(Dock)项目,创建一个虚假的 “启动台” 应用程序,并将程序坞中合法的 “启动台” 路径条目替换为虚假的条目。结果如何呢?每次从程序坞启动 “启动台” 时,合法的 “启动台” 和恶意有效载荷都会被执行。开发人员在从在线存储库、网站和开发者社区下载或克隆 Xcode 项目时应多加小心。即使是由你信任的人提供的项目也应该进行检查,因为他们可能并不知道该项目已经 “被感染” 了。
