近日,微软的威胁情报团队宣布,他们发现了一个新的XCSSET恶意软件变种,专门针对macOS系统。这种恶意软件首次出现于2020年,随着时间的推移,其功能和攻击能力不断增强。这一新变种首次被发现是在2022年之后,具有更强的混淆方法和更新的持久性机制,并伴有新的感染策略。 XCSSET恶意软件以其复杂的模块化设计而闻名,针对的是使用Apple Xcode进行开发的用户。通过感染Xcode项目,这种恶意软件可以在用户构建项目时悄无声息地运行。在这种情况下,开发者可能并不知道自己正在运行的是已经被感染的代码,这正是该恶意软件得以传播和设立持久性的重要原因。
该变种的主要特点包括: 1. **增强的混淆方法**:新变种采用了更复杂的混淆技术,使得恶意代码在静态分析期间更难以识别和分析,增加了恶意软件的隐蔽性。 2. **更新的持久性机制**:新的持久性技术确保恶意软件在每次新shell会话启动时均会被执行。比如,它会从命令与控制服务器下载签名的dockutil工具,利用它来管理dock项目。 3. **新感染策略**:本变种在Xcode项目中设置载体的方式也有新的变化,从而优化了恶意软件的传播路径。 这款恶意软件的攻击链通常通过四个步骤实现,它利用开发者在构建项目时的疏忽实施攻击: 1. 执行shell载荷,当用户不知情地构建感染的Xcode项目时,会下载一个混淆的shell命令。 2. 执行该shell命令,收集操作系统信息,并将其传输到外部服务器,随后拉取额外的shell脚本载荷。
3. 执行该shell脚本,检查设备的XProtect版本,并在其低于5287时使用osacompile创建编译的AppleScript应用。 4. 执行创建的AppleScript应用,从而运行shell命令获取最终阶段的AppleScript,负责收集系统信息和启动不同的子模块。 在这些子模块中,部分被用来窃取系统信息、浏览器扩展、数字钱包数据和Apple Notes中的信息。这种模块化设计使得攻击者能够根据需要更新和开发新的功能,显著提升了XCSSET的威胁水平。 针对这种恶意软件,微软建议开发者在下载或克隆Xcode项目时,务必仔细检查和验证这些项目,确保它们来自可信的来源。此外,只从官方应用商店或信誉良好的软件平台安装应用程序也是防止中招的重要方式。
在XCSSET的多个版本中,该恶意软件的攻击目标包括了谷歌Chrome、Telegram、Evernote等多种常用应用。它的能力已经从最初的简单信息收集演变为现在能够在不需额外权限的情况下截取屏幕。因此,开发者和用户都应提高警惕,定期更新自己的操作系统和软件,确保安全性。 最后,在信息安全的不断发展下,企业和开发者应当加强对恶意软件的防范意识,持续监测系统中的异常活动,及时采用安全措施,减少潜在的攻击面。安全培训和意识提升是每个人的责任,尤其是在如今复杂的数字环境中。通过了解和掌握诸如XCSSET恶意软件这样的威胁动态,可以有效地保护个人和企业资产不受侵害。
。
