macOS用户,特别是开发者们,请注意!微软最新披露,XCSSET macOS恶意软件出现了新变种,并且已经在野外攻击中被发现!
微软威胁情报团队表示,这是自2022年以来XCSSET的第一个已知变种。这个最新的XCSSET恶意软件具有增强的混淆方法、更新的持久化机制和新的感染策略。
XCSSET:持续进化的macOS威胁
XCSSET是一种复杂的模块化macOS恶意软件,主要通过感染苹果Xcode项目来攻击用户。它最早由趋势科技在2020年8月记录。
XCSSET的后续迭代版本不断适应,以攻陷更新版本的macOS以及苹果自家的M1芯片。2021年中,该恶意软件被发现更新,可以从各种应用程序中窃取数据,包括谷歌Chrome、Telegram、Evernote、Opera、Skype、微信以及苹果第一方应用程序(如通讯录和备忘录)。
Jamf在同一时间发布的另一份报告揭示了该恶意软件能够利用CVE-2021-30713(一个透明度、同意和控制(TCC)框架绕过漏洞)作为零日漏洞,在不需要额外权限的情况下截取受害者桌面的屏幕截图。
一年多后,它再次更新以支持macOS Monterey。截至目前,该恶意软件的来源仍然未知。
新变种:更强混淆,更持久驻留
微软的最新发现标志着XCSSET自2022年以来的首次重大修订。新变种使用了改进的混淆方法和持久性机制,旨在挑战分析工作,并确保每次启动新的shell会话时都会启动恶意软件。
新持久化手法:伪造Launchpad
XCSSET建立持久性的另一种新颖方式是从命令和控制服务器下载一个已签名的dockutil实用程序来管理dock项目。
微软表示:“恶意软件会创建一个假的Launchpad应用程序,并将dock中合法Launchpad的路径条目替换为这个假的。这确保了每次从dock启动Launchpad时,都会执行合法的Launchpad和恶意负载。”
已知攻击能力:除了新功能之外,这个新变种的XCSSET也保留之前的版本已知的攻击能力:
- 窃取数字钱包:
攻击目标包括各种数字钱包。 - 收集备忘录数据:
从备忘录应用程序中收集数据。 - 泄露系统信息和文件:
将系统信息和文件发送给攻击者。
总结与建议:
-
XCSSET恶意软件持续进化,新变种的出现表明其背后的攻击者仍在积极开发和改进。 -
macOS用户,尤其是开发者,应保持高度警惕,并采取以下措施: - 谨慎下载和安装软件:
仅从可信来源下载和安装软件,避免使用来历不明的Xcode项目。 - 保持系统和软件更新:
及时安装最新的macOS和应用程序更新,以修复已知的安全漏洞。 - 使用安全软件:
安装并定期更新可靠的安全软件,以检测和阻止恶意软件。 - 注意异常行为:
如果发现系统出现异常行为,例如Launchpad启动异常、CPU使用率过高等,应立即进行调查。
原文始发于微信公众号(技术修道场):微软发现XCSSET macOS恶意软件新变种:混淆升级,攻击更隐蔽!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论