微软表示,在对野外有限的攻击活动进行监测时,发现了一种已知的苹果 macOS 恶意软件 XCSSET 的新变种。微软威胁情报团队在 X 平台(原推特)上发布的一篇文章中称:“这是自 2022 年以来该恶意软件的首个已知变种,最新的 XCSSET 恶意软件具备更强的混淆手段、更新的持久化机制以及新的感染策略。”“这些增强的功能在该恶意软件家族先前已知的能力基础上更进一步,比如攻击数字钱包、从便笺应用程序中收集数据,以及窃取系统信息和文件等。”XCSSET 是一种复杂的模块化 macOS 恶意软件,已知它通过感染苹果 Xcode 项目来攻击用户。2020 年 8 月,趋势科技首次记录了该恶意软件。后续发现的该恶意软件迭代版本能够适应并攻击更新版本的 macOS 系统以及苹果自家的 M1 芯片组。2021 年年中,这家网络安全公司指出,XCSSET 已更新,能够从谷歌浏览器、电报、印象笔记、欧朋浏览器、Skype、微信以及苹果的第一方应用程序(如通讯录和便笺)等各种应用程序中窃取数据。同一时期,Jamf 公司的另一份报告显示,该恶意软件能够利用 CVE-2021-30713 漏洞(这是一个透明度、同意和控制(TCC)框架绕过漏洞)作为零日漏洞,在无需额外权限的情况下对受害者的桌面进行截图。一年多后,它再次更新,增加了对 macOS Monterey 系统的支持。截至撰写本文时,该恶意软件的来源仍然未知。微软的最新发现标志着自 2022 年以来的首次重大更新,该变种使用了改进的混淆方法和持久化机制,目的是增加分析难度,并确保每次启动新的 shell 会话时恶意软件都会被启动。XCSSET 设置持久化的另一种新方式是从命令控制服务器下载一个已签名的 dockutil 实用工具,用于管理程序坞中的项目。微软表示:“然后,该恶意软件会创建一个虚假的启动台应用程序,并将程序坞中合法启动台的路径条目替换为这个虚假的条目。这就确保了每次从程序坞启动启动台时,合法的启动台和恶意负载都会被执行。”鉴于 XCSSET 是通过受感染的项目传播的,建议用户在使用从代码库下载或克隆的任何 Xcode 项目之前,务必检查并验证其安全性。同时也建议仅从可信来源(如软件平台的官方应用商店)安装应用程序。
