一种新型的 XCSSET 模块化恶意软件变种现身,该变种针对苹果操作系统(macOS),在攻击中会窃取用户的敏感信息,其中包括数字钱包信息以及来自合法 “备忘录” 应用程序的数据。这种恶意软件通常通过受感染的 Xcode 项目进行传播。它至少已经存在五年了,每一次更新都代表着 XCSSET 发展历程中的一个里程碑。而目前的这些改进是自 2022 年以来首次被观察到的。微软的威胁情报团队在有限的攻击活动中识别出了这个最新变种,并表示,与以往的 XCSSET 变种相比,这个新变种的特点是代码混淆程度更高、驻留能力更强,并且采用了新的感染策略。2021 年 5 月,苹果公司修复了一个曾被 XCSSET 作为零日漏洞主动利用的安全漏洞,这也显示出该恶意软件开发者的能力。野外出现的新型 XCSSET 变种微软今日发出警告,称出现了新的攻击活动,这些攻击使用了经过全面改进的 XCSSET(针对苹果操作系统(macOS))恶意软件变种。研究人员发现的一些关键改动包括:1.通过编码技术进行新的混淆处理,同时依赖 Base64 和十六进制转储(xxd/hexdump)方法,且迭代次数各不相同。代码中的模块名称也进行了混淆处理,这使得分析其意图变得更加困难。2.两种驻留技术(zshrc 和程序坞(dock)相关技术)。3.新的 Xcode 感染方法:该恶意软件使用 “目标(TARGET)”、“规则(RULE)” 或 “强制策略(FORCED_STRATEGY)” 选项,将有效载荷放置在 Xcode 项目中。它还可能将有效载荷插入到构建设置中的 “目标设备系列(TARGET_DEVICE_FAMILY)” 键中,并在后续阶段运行。对于基于 zshrc 的驻留方法,新型 XCSSET 变种会创建一个名为~/.zshrc_aliases 的文件,该文件包含有效载荷,并在~/.zshrc 文件中附加一条命令。这样,每当启动一个新的 shell 会话时,所创建的文件就会运行。对于基于程序坞(dock)的方法,攻击者会从其命令控制(C2)服务器下载一个已签名的 dockutil 工具,用于管理程序坞项目。然后,XCSSET 会创建一个带有有效载荷的恶意 “启动台” 应用程序,并更改合法应用程序的路径,使其指向这个虚假的应用程序。结果是,当点击程序坞中的 “启动台” 时,合法应用程序和恶意有效载荷都会被执行。Xcode 是苹果公司的开发者工具集,附带一个集成开发环境(IDE),可用于为所有苹果平台创建、测试和分发应用程序。一个 Xcode 项目可以从头开始创建,也可以基于从各种代码库下载或克隆的资源来构建。通过将目标对准这些项目,XCSSET 的操控者能够接触到更多的受害者。XCSSET 拥有多个模块,可用于解析系统上的数据、收集敏感信息并将其窃取外传。其针对的数据类型包括登录信息、来自聊天应用程序和浏览器的信息、“备忘录” 应用程序的数据、数字钱包信息、系统信息以及文件。微软建议对从非官方代码库克隆的 Xcode 项目和代码库进行检查和验证,因为这些可能隐藏着经过混淆处理的恶意软件或后门程序。
