XCSSET variáns
A Microsoft Threat Intelligence csapata egy új XCSSET variánst fedezett fel, amely egy kifinomult, moduláris macOS malware, és Xcode projektek megfertőzésével terjed. Bár jelenleg csak korlátozott számú támadásban észlelték, a Microsoft megosztotta az információkat, hogy a felhasználók és szervezetek felkészülhessenek a fenyegetés kivédésére. Ez az új változat az első ismert frissítése a malware-nek 2022 óta, és jelentős fejlesztéseken esett át, beleértve az erősebb obfuszkációt, fejlettebb állandósági mechanizmusokat és új fertőzési technikákat.
Az új XCSSET változat továbbra is képes digitális pénztárcákat célba venni, a Notes alkalmazásból adatokat gyűjteni, valamint rendszerinformációkat és fájlokat exfiltrálni. A korábbi verziókhoz képest azonban új, nehezebben felismerhető megoldásokat alkalmaz.
Az új obfuszkációs módszerek jelentősen megnehezítik a malware felismerését. Az XCSSET egy randomizált módszert használ a payloadok előállítására és injektálására Xcode projektekben. Mind az enkódolási technika, mind az iterációk száma változó, így minden egyes fertőzés egyedi lehet. A régebbi XCSSET variánsok kizárólag xxd (hexdump) alapú enkódolást alkalmaztak, míg az új verzió Base64 alapú titkosítást is beépített. Ezen kívül az új variáns a modulok neveit is elrejti, ami jelentősen megnehezíti az elemzők számára a malware funkcióinak azonosítását.
Az állandóság biztosítása érdekében az XCSSET két különböző technikát alkalmaz. Az egyik a zshrc módszer, amely során a malware létrehoz egy ~/.zshrc_aliases nevű fájlt, amely a fertőzött payloadot tartalmazza. Ezután egy parancsot illeszt be a ~/.zshrc fájlba, amely gondoskodik arról, hogy a kártékony fájl minden egyes új shell indításakor elinduljon, biztosítva ezzel a malware állandó jelenlétét a rendszeren. A másik módszer a dock technika, amely során a malware egy dockutil nevű eszközt tölt le a támadók parancs- és vezérlőszerveréről (C2). Ezzel az eszközzel a támadók módosíthatják a macOS Dock elemeit. A malware létrehoz egy hamis Launchpad alkalmazást, és lecseréli az eredeti Launchpad útvonalát a Dock beállításaiban. Ennek eredményeként valahányszor a felhasználó elindítja a Launchpadot, a legitim Launchpad mellett a malware is végrehajtásra kerül.
A fertőzés terjedésének módszerei szintén fejlődtek. Az új variáns különböző helyekre képes elhelyezni a fertőzött kódot egy célzott Xcode projektben, három stratégia közül választva: TARGET, RULE, vagy FORCED_STRATEGY. Egy további módszer a TARGET_DEVICE_FAMILY kulcs alá történő injektálás, amely a build folyamat egy későbbi szakaszában aktiválódik.
A Microsoft megerősítette, hogy a Microsoft Defender for Endpoint for Mac képes felismerni és blokkolni az XCSSET-et, beleértve ezt az új variánst is. A felhasználóknak különösen óvatosnak kell lenniük az Xcode projektek letöltésekor vagy klónozásakor, mivel a malware leggyakrabban fertőzött projekteken keresztül terjed. Javasolt továbbá, hogy a felhasználók csak megbízható forrásokból telepítsenek alkalmazásokat, például az Apple App Store-ból, hogy csökkentsék a fertőzés kockázatát.
