新型XCSSET macOS恶意软件变种已被用于有限的攻击

微软威胁情报团队发现了一种新的macOS恶意软件XCSSET变种正在被实际利用。XCSSET是一款复杂的模块化macOS恶意软件，通过感染Xcode项目来攻击用户，至少从2022年就开始活跃。微软观察到该恶意软件被用于有限的攻击。

最新版本的XCSSET恶意软件采用了增强的混淆方法、更新的持久化机制和新的感染策略。该变种在生成感染Xcode项目的有效负载时使用了更随机的方法，其编码技术和编码迭代次数都是随机的。此外，虽然旧版本的XCSSET只使用xxd（十六进制转储）进行编码，但最新版本还加入了Base64编码。其代码级别的模块名称也经过了混淆，使得确定模块的意图更加困难。

这种新型恶意软件使用两种持久化方法：“zshrc”方法，创建文件以便在新shell会话中启动；以及“dock”方法，下载工具替换合法的Launchpad应用程序为伪造的应用程序，同时执行应用程序和恶意软件。

新版XCSSET变种引入了多种将有效负载放置到目标Xcode项目中的方法，包括TARGET、RULE、FORCED_STRATEGY，以及将其放置在TARGET_DEVICE_FAMILY键中以便稍后执行。

微软总结道，微软Defender for Endpoint for Mac可以检测到XCSSET，包括最新变种。用户必须始终检查并验证从代码库下载或克隆的任何Xcode项目，因为恶意软件通常通过受感染的项目传播。他们也应该只从可信来源（例如软件平台的官方应用商店）安装应用程序。

原文始发于微信公众号（黑猫安全）：新型XCSSET macOS恶意软件变种已被用于有限的攻击