微软发现采用高级混淆策略的新型 XCSSET macOS 恶意软件变种

微软表示，在有限的野外攻击中，它发现了一种名为XCSSET的已知针对 Apple 设备的macOS 恶意软件新变种。

微软威胁情报团队在 X 上分享的一篇文章（https://x.com/MsftSecIntel/status/1891410993265123662）中表示：“这是自 2022 年以来第一个已知的变种，最新的 XCSSET 恶意软件具有增强的混淆方法、更新的持久性机制和新的感染策略。”

这些增强的功能增加了该恶意软件家族先前已知的功能，例如针对数字钱包、从 Notes 应用程序收集数据以及窃取系统信息和文件。

XCSSET 是一种复杂的模块化 macOS 恶意软件，已知通过感染 Apple Xcode 项目来攻击用户。Trend Micro 于 2020 年 8 月首次记录了该恶意软件。

研究人员发现，该恶意软件的后续版本可以入侵较新版本的 macOS 以及 Apple 自己的 M1 芯片组。2021 年年中，这家网络安全公司指出，XCSSET 已更新，可窃取 Google Chrome、Telegram、Evernote、Opera、Skype、微信以及 Apple 第一方应用程序（如 Contacts 和 Notes）等各种应用程序的数据。

Jamf 大约在同一时间发布的另一份报告显示，该恶意软件能够利用透明度、同意和控制 (TCC) 框架绕过漏洞 CVE-2021-30713，作为0day漏洞武器来截取受害者屏幕截图，而无需额外的权限。

一年多后，该软件再次更新，添加了对 macOS Monterey 的支持，该恶意软件的来源仍不清楚。

微软的最新发现标志着自 2022 年以来首次重大修订，使用改进的混淆方法和持久性机制，旨在挑战分析工作并确保每次启动新的 shell 会话时都会启动恶意软件。

XCSSET 建立持久性的另一种新方式是从命令和控制服务器下载已签名的 dockutil 实用程序来管理 dock 项目。

微软表示：“恶意软件随后会创建一个假的 Launchpad 应用程序，并用这个假的 Launchpad 路径条目替换 Dock 中合法的 Launchpad 路径条目。这确保每次从 Dock 启动 Launchpad 时，合法的 Launchpad 和恶意负载都会被执行。”

微软建议检查和验证从非官方存储库克隆的 Xcode 项目和代码库，因为它们可能隐藏混淆的恶意软件或后门。

新闻链接：

https://thehackernews.com/2025/02/microsoft-uncovers-new-xcsset-macos.html