微软研究人员近日发现macOS恶意软件XCSSET出现变种,发展出更高明的混淆与程序感染手法,并已开始在网上发动攻击。
XCSSET最早是2020年由趋势科技研究人员发现,是通过macOS漏洞感染Xcode项目感染macOS计算机,隔年也发现过。在受害者系统上,它会窃取敏感资讯,包括Safari内的cookies、访问相机或安装应用程序,或是硬盘文件等。
最近微软威胁情报研究人员发现2022年以来首只公开观测到的XCSSET新变种,已开始在网络上传播。它具有更高超的混淆(obfuscation)手法、更多渗透技俩,以及新的Xcode项目感染方法。
XCSSET新变种生成感染Xcode项目的恶意程序的方法,不论它使用的混淆编码方法或是编码迭代的版本数都更随机。旧版XCSSET只使用一种xxd (hexdump)编码,变种则再加入Base64,而且连变种模块名称也经过混淆,让研究人员难以判断其意图。
其次,为了维持对受害macOS计算机长期(Persistence)访问,新XCSSET变种使用了二种不同配置手法:zshrc和dock。zshrc方法中,XCSSET创建了zshrc的配置文件来存放恶意指令,并加上指令,确保修户打开macOS计算机都会执行。dock方法中,XCSSET从外部服务器下载合法管理工具dockutil,并创建假的macOS管理程序Launchpad,并修改dock路径连接到假Launchpad。可确保修户从dock操作时,可同时执行真的和假的Launchpad,以降低用户警觉性。
最新变种也增加植入恶意指令的方法。它用三种方法TARGET、RULE和FORCED_STRATEGY以便在Xcode项目加入恶意指令。此外,还有一种方法能在build设置的TARGET_DEVICE_FAMILY key加入恶意指令,以便项目未来阶段中执行。
微软表示,其杀毒软件Microsoft Defender for Endpoint on Mac已侦测到这只XCSSET变种。微软建议开发人员要小心并验证从公开程序库下载的Xcode项目,因为XCSSET可能会经由感染的项目蔓延。用户最保险的方法是从受信赖来源下载程序,例如苹果的App Store。
