微软发现用于加密货币盗窃的 XCSSET macOS 恶意软件变种

XCSSET macOS 模块化恶意软件的新变种出现在针对用户敏感信息的攻击中，包括数字钱包和合法 Notes 应用程序的数据。

该恶意软件通常通过受感染的 Xcode 项目进行传播。它已经存在至少五年了，每次更新都代表着 XCSSET 开发的一个里程碑。目前的改进是自 2022 年以来首次观察到的改进。

微软威胁情报团队在有限的攻击中发现了最新变种，并表示与过去的 XCSSET 变种相比，新变种具有增强的代码混淆、更好的持久性和新的感染策略。

2021 年 5 月，Apple 修复了一个被 XCSSET 积极利用的零日漏洞，这表明了该恶意软件开发人员的能力。

新的 XCSSET 变种

微软今天警告称，新的攻击使用了 XCSSET macOS 恶意软件的变种，该变种进行了全面改进。研究人员发现的一些关键修改包括：

• 通过依赖于 Base64 和 xxd（十六进制转储）方法的编码技术进行新的混淆 ，这些方法的迭代次数各不相同。代码中的模块名称也被混淆，这使得分析其意图变得更加困难

• 两种持久性技术（zshrc和dock）

• 新的 Xcode 感染方法：恶意软件使用 TARGET、RULE 或 FORCED_STRATEGY 选项将有效载荷放置在 Xcode 项目中。它还可能将有效载荷插入构建设置中的 TARGET_DEVICE_FAMILY 键中，并在稍后阶段运行它

对于zshrc 持久化方法，新的 XCSSET 变体会创建一个名为 ~/.zshrc_aliases 的文件，其中包含有效负载，并在 ~/.zshrc 文件中附加一条命令。这样，每当启动新的 shell 会话时，创建的文件就会启动。

对于dock方法，从攻击者的命令和控制 (C2) 服务器下载已签名的 dockutil 工具来管理 dock 项目。

然后，XCSSET 会利用该负载创建一个恶意的 Launchpad 应用程序，并将合法应用程序的路径更改为指向该虚假应用程序。因此，当 dock 中的 Launchpad 启动时，真正的应用程序和恶意负载都会被执行。

Xcode 是 Apple 的开发工具集，它带有集成开发环境 (IDE)，允许为所有 Apple 平台创建、测试和分发应用程序。

Xcode 项目可以从头开始创建，也可以根据从各种存储库下载/克隆的资源构建。通过针对这些资源，XCSSET 的运营者可以接触到更多的受害者。

XCSSET 有多个模块来解析系统数据、收集敏感信息并窃取数据。目标数据类型包括登录信息、聊天应用程序和浏览器信息、Notes 应用程序、数字钱包、系统信息和文件。

微软建议检查和验证从非官方存储库克隆的 Xcode 项目和代码库，因为它们可能隐藏混淆的恶意软件或后门。

来源：https://www.bleepingcomputer.com/news/security/microsoft-spots-xcsset-macos-malware-variant-used-for-crypto-theft/