微软警报:macOS恶意软件XCSSET新版来袭

admin
admin
admin
138635
文章
114
评论
2025年2月18日19:39:54评论21 views字数 2265阅读7分33秒阅读模式

2025年2月17日,微软威胁情报团队宣布检测到XCSSET macOS恶意软件的新变种,这是自2022年以来首次公开观察到的新版本。XCSSET是一种模块化恶意软件,主要通过感染Xcode项目传播,针对macOS用户,尤其是开发者。新变种在代码混淆、持久性机制和感染策略上进行了显著改进,增加了检测和分析的难度。该恶意软件能够窃取敏感信息,包括数字钱包、Notes应用程序数据、浏览器信息等,并通过新的感染方法扩大其影响范围。尽管目前仅在有限的攻击中出现,但其潜在威胁不容忽视。

微软警报:macOS恶意软件XCSSET新版来袭

XCSSET简介

XCSSET是一种针对macOS系统的模块化恶意软件,最早于2020年被发现。它主要通过感染Xcode项目传播,Xcode是苹果公司提供的集成开发环境(IDE),广泛用于macOS和iOS应用程序的开发。XCSSET的传播方式非常隐蔽,开发者可能在不知情的情况下将受感染的Xcode项目上传到GitHub等代码托管平台,从而将恶意软件传播给其他用户。

XCSSET具有多种功能模块,能够从系统中收集大量敏感信息,包括登录凭证、聊天记录、浏览器数据、Notes应用程序内容、数字钱包信息等。此外,它还能够截取屏幕截图、加密文件并显示勒索信息。由于其模块化设计,XCSSET可以根据攻击者的需求灵活调整功能,增加了其威胁性。

新版有何不同?

自2022年以来,XCSSET首次发布了新变种,微软威胁情报团队在有限的攻击中发现了这一变种。与之前的版本相比,新变种在以下几个方面进行了显著改进:

增强的代码混淆:新变种采用了更加复杂的代码混淆技术,使用Base64和xxd(十六进制转储)方法进行编码,且编码迭代次数随机化。模块名称也被混淆,使得分析其意图变得更加困难。

更新的持久化机制:新变种引入了两种新的持久性技术,分别是“zshrc”方法和“dock”方法。在zshrc方法中,恶意软件会创建一个名为~/.zshrc_aliases的文件,并在~/.zshrc文件中附加一条命令,确保每次启动新的shell会话时都会启动恶意负载。在dock方法中,恶意软件通过下载签名的dockutil工具,创建一个假的Launchpad应用程序,并用其替换dock中的合法路径条目,从而在每次启动Launchpad时执行恶意负载。

新的感染策略:新变种引入了新的Xcode感染方法,使用TARGET、RULE或FORCED_STRATEGY选项将有效载荷放置在Xcode项目中。此外,它还可以将有效载荷插入构建设置中的TARGET_DEVICE_FAMILY键中,并在稍后阶段运行。

这些改进使得新变种在逃避检测和分析方面更加有效,增加了其传播和持久性的能力。

主要危害

XCSSET恶意软件的主要危害体现在以下几个方面:

窃取敏感信息:XCSSET能够从多个应用程序中收集敏感信息,包括Evernote、Notes、Skype、Telegram、QQ、微信等。它还能够窃取浏览器信息、登录凭证、数字钱包内容等,给用户带来严重的经济损失和隐私泄露风险。

系统信息泄露:该恶意软件能够收集系统信息,包括文件、屏幕截图等,进一步增加了用户数据的暴露风险。

用于勒索软件攻击:XCSSET具备加密文件并显示勒索信息的能力,可能导致用户无法访问重要文件,甚至被迫支付赎金。

传播范围广泛:由于XCSSET通过Xcode项目传播,开发者可能在不知情的情况下将恶意软件传播给其他用户,进一步扩大了其影响范围。

隐蔽性强难检测:新变种在代码混淆和持久性机制上的改进,使得其更加难以被检测和分析,增加了防御的难度。

防范建议

为了防范XCSSET恶意软件的威胁,用户和组织应采取以下安全措施:

检查和验证Xcode项目:开发者应仔细检查和验证从非官方存储库下载或克隆的Xcode项目和代码库,确保其未被感染。建议使用官方或可信的来源获取开发资源。

安装可信应用程序:用户应仅从官方应用商店或可信来源安装应用程序,避免下载和安装来历不明的软件。

定期更新系统和软件:及时更新macOS系统和应用程序,以修复已知漏洞,减少被恶意软件利用的风险。

使用安全工具:安装和运行可靠的安全软件,定期进行系统扫描,检测和清除潜在的恶意软件。

提高安全意识:用户和组织应提高安全意识,了解常见的恶意软件传播方式和防范措施,避免点击可疑链接或下载不明附件。

监控系统行为:定期监控系统行为,检查是否存在异常活动,如未经授权的文件修改、网络连接等,及时发现和处理潜在威胁。

结论

XCSSET恶意软件的新变种在代码混淆、持久性机制和感染策略上进行了显著改进,增加了其威胁性和隐蔽性。尽管目前仅在有限的攻击中出现,但其潜在危害不容忽视。用户和组织应采取有效的安全措施,防范该恶意软件的威胁,保护敏感信息和系统安全。

参考资源

1、https://thehackernews.com/2025/02/microsoft-uncovers-new-xcsset-macos.html

2、https://www.theregister.com/2025/02/17/macos_xcsset_malware_returns/

3、https://www.bleepingcomputer.com/news/security/microsoft-spots-xcsset-macos-malware-variant-used-for-crypto-theft/

原文始发于微信公众号(网空闲话plus):微软警报:macOS恶意软件XCSSET新版来袭

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月18日19:39:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   微软警报:macOS恶意软件XCSSET新版来袭https://cn-sec.com/archives/3754508.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息