关键词
恶意软件
XCSSET macOS 模块化恶意软件的新变种出现在针对用户敏感信息的攻击中,包括数字钱包和合法 Notes 应用程序的数据。
该恶意软件通常通过受感染的 Xcode 项目进行传播。它已经存在至少五年了,每次更新都代表着 XCSSET 开发的一个里程碑。目前的改进是自 2022 年以来首次观察到的改进。
微软威胁情报团队在有限的攻击中发现了最新变种,并表示与过去的 XCSSET 变种相比,新变种具有增强的代码混淆、更好的持久性和新的感染策略。
2021 年 5 月,Apple 修复了一个被 XCSSET 积极利用的零日漏洞,这表明了该恶意软件开发人员的能力。
新的 XCSSET 变种
微软今天警告称,新的攻击使用了 XCSSET macOS 恶意软件的变种,该变种进行了全面改进。研究人员发现的一些关键修改包括:
-
通过依赖于 Base64 和 xxd(十六进制转储)方法的编码技术进行新的混淆 ,这些方法的迭代次数各不相同。代码中的模块名称也被混淆,这使得分析其意图变得更加困难
-
两种持久性技术(zshrc和dock)
-
新的 Xcode 感染方法:恶意软件使用 TARGET、RULE 或 FORCED_STRATEGY 选项将有效载荷放置在 Xcode 项目中。它还可能将有效载荷插入构建设置中的 TARGET_DEVICE_FAMILY 键中,并在稍后阶段运行它
对于zshrc 持久化方法,新的 XCSSET 变体会创建一个名为 ~/.zshrc_aliases 的文件,其中包含有效负载,并在 ~/.zshrc 文件中附加一条命令。这样,每当启动新的 shell 会话时,创建的文件就会启动。
对于dock方法,从攻击者的命令和控制 (C2) 服务器下载已签名的 dockutil 工具来管理 dock 项目。
然后,XCSSET 会利用该负载创建一个恶意的 Launchpad 应用程序,并将合法应用程序的路径更改为指向该虚假应用程序。因此,当 dock 中的 Launchpad 启动时,真正的应用程序和恶意负载都会被执行。
Xcode 是 Apple 的开发工具集,它带有集成开发环境 (IDE),允许为所有 Apple 平台创建、测试和分发应用程序。
Xcode 项目可以从头开始创建,也可以根据从各种存储库下载/克隆的资源构建。通过针对这些资源,XCSSET 的运营者可以接触到更多的受害者。
XCSSET 有多个模块来解析系统数据、收集敏感信息并窃取数据。目标数据类型包括登录信息、聊天应用程序和浏览器信息、Notes 应用程序、数字钱包、系统信息和文件。
微软建议检查和验证从非官方存储库克隆的 Xcode 项目和代码库,因为它们可能隐藏混淆的恶意软件或后门。
来源:https://www.bleepingcomputer.com/news/security/microsoft-spots-xcsset-macos-malware-variant-used-for-crypto-theft/
END
原文始发于微信公众号(安全圈):【安全圈】微软发现用于加密货币盗窃的 XCSSET macOS 恶意软件变种
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论