Az XCSSET macOS malware új verziója
A Microsoft Threat Intelligence fenyegetésvadászat során felfedezte az XCSSET moduláris macOS malware új változatát, amely Xcode projekteket fertőz meg. A 2022-es első ismert változata óta az új verziójú XCSSET malware továbbfejlesztett obfuszkációs módszerekkel, frissített perzisztencia mechanizmusokkal és új fertőzési stratégiákkal rendelkezik. Ezek a továbbfejlesztett funkciók segítik a malware-t különböző fájlok, többek között rendszer- és felhasználói információk, és digitális pénztárcaadatok megszerzésében és kiszivárogtatásában. Az Xcode az Apple integrált fejlesztőkörnyezete (IDE) macOS-hez, amelyet macOS, iOS, iPadOS, watchOS, tvOS és visionOS szoftverek fejlesztésére használnak.
Az XCSSET arról ismert, hogy Xcode projekteket fertőz meg. Mivel az Xcode-ot jellemzően szoftverfejlesztők használják, A Microsoft úgy értékeli, hogy a kártevő fertőzési és terjedési módja kihasználja, hogy a projektfájlokat megosztják az Apple vagy macOS-hez kapcsolódó alkalmazások fejlesztői között. Az új verzió hasonlóságot mutat a régebbi XCSSET-változatokkal, az új változatot moduláris megközelítés és kódolt payload jellemzi. Az új XCSSET hibakezeléssel is rendelkezik, és nagymértékben használja a szkriptnyelveket, UNIX-parancsokat és legitim bináris programokat. Ezek a jellemzők támogatják a malware nehezebb észlelését, amit tovább nehezít, hogy a malware törekszik a fileless működésre.
Az új XCSSET-változat obfuszkálta a modulneveket, így a statikus elemzés során nehéz meghatározni a modulok szándékát. A továbbfejlesztett obfuszkációs technikái kiterjednek az Xcode projektek megfertőzéséhez használt payload-ok generálására és a payload-ok kódolására is. A régebbi XCSSET változatok csak az xxd (hexdump) kódolást használták, a legújabb változat Base64-et is tartalmaz.
Az új változat további figyelemre méltó képességei közé tartozik a három különböző perzisztencia technika, amelyek biztosítják, hogy a payload mindig elindul, amikor egy új shell munkamenetet kezdeményez, vagy amikor a felhasználót ráveszik egy hamis Launchpad-alkalmazás megnyitására, vagy amikor a Gitben commitokat végez. A Microsoft elemzése azt is feltárta, hogy az új variáns kódjában vannak olyan modulok, amelyek látszólag még fejlesztés alatt állnak. A parancs- és vezérlőkiszolgálója (C2) a Microsoft cikkének írásakor is aktív volt.
A fenyegetéssel szembeni védelem érdekében javasolt a legfrissebb operációs rendszert és alkalmazásokat használni. Javasolt mindig ellenőrizni a letöltött vagy tárolókból klónozott Xcode projekteket, mivel a malware-ek általában fertőzött projekteken keresztül terjednek. Javasolt olyan webböngészőt vagy védelmi megoldást használni, amelyek blokkolják a rosszindulatú webhelyeket, beleértve az adathalász oldalakat. Emellett javasolt végpontvédelmi megoldást alkalmazni, amely felismerheti és karanténba helyezheti az olyan malware-eket, mint például az XCSSET.
