微软威胁情报团队发现了一种新的macOS恶意软件XCSSET变种正在被实际利用。XCSSET是一款复杂的模块化macOS恶意软件,通过感染Xcode项目来攻击用户,至少从2022年就开始活跃。微软观察到该恶意软件被用于有限的攻击。
最新版本的XCSSET恶意软件采用了增强的混淆方法、更新的持久化机制和新的感染策略。该变种在生成感染Xcode项目的有效负载时使用了更随机的方法,其编码技术和编码迭代次数都是随机的。此外,虽然旧版本的XCSSET只使用xxd(十六进制转储)进行编码,但最新版本还加入了Base64编码。其代码级别的模块名称也经过了混淆,使得确定模块的意图更加困难。
这种新型恶意软件使用两种持久化方法:“zshrc”方法,创建文件以便在新shell会话中启动;以及“dock”方法,下载工具替换合法的Launchpad应用程序为伪造的应用程序,同时执行应用程序和恶意软件。
新版XCSSET变种引入了多种将有效负载放置到目标Xcode项目中的方法,包括TARGET、RULE、FORCED_STRATEGY,以及将其放置在TARGET_DEVICE_FAMILY键中以便稍后执行。
微软总结道,微软Defender for Endpoint for Mac可以检测到XCSSET,包括最新变种。用户必须始终检查并验证从代码库下载或克隆的任何Xcode项目,因为恶意软件通常通过受感染的项目传播。他们也应该只从可信来源(例如软件平台的官方应用商店)安装应用程序。
原文始发于微信公众号(黑猫安全):新型XCSSET macOS恶意软件变种已被用于有限的攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论