Η Microsoft εντόπισε μια νέα εξελιγμένη παραλλαγή του XCSSET malware, το οποίο στοχεύει συστήματα macOS και εστιάζει στη συλλογή ευαίσθητων δεδομένων, συμπεριλαμβανομένων ψηφιακών πορτοφολιών και αρχείων από την εφαρμογή Notes.
Το XCSSET αρχικά αναγνωρίστηκε το 2020 και διανέμεται μέσω μολυσμένων Xcode projects. Επειδή το Xcode χρησιμοποιείται από προγραμματιστές για τη δημιουργία εφαρμογών iOS και macOS, το malware μπορεί να εξαπλωθεί γρήγορα μέσω repository-based διανομής κώδικα, στοχεύοντας αθώους developers και όσους κατεβάζουν τροποποιημένα projects από μη αξιόπιστες πηγές.
Νέες Τεχνικές και Στρατηγικές Μόλυνσης
Η τελευταία έκδοση του XCSSET παρουσιάζει σημαντικές βελτιώσεις, καθιστώντας την ανίχνευσή του πιο δύσκολη. Η Microsoft αναφέρει ότι οι νέες αλλαγές περιλαμβάνουν:
- Προηγμένη Απόκρυψη Κώδικα: Χρήση Base64 και xxd (hexdump) με δυναμικό αριθμό επαναλήψεων, ώστε να περιπλέκεται η ανάλυση του κώδικα.
- Ενισχυμένοι Μηχανισμοί Διατήρησης: Δύο κύριες τεχνικές persistence μέσω
zshrcκαι dock manipulation. - Προηγμένοι Τρόποι Μόλυνσης μέσω Xcode: Το malware αξιοποιεί τα πεδία TARGET, RULE και FORCED_STRATEGY για να εισάγει το payload σε projects. Μπορεί επίσης να τροποποιήσει το
TARGET_DEVICE_FAMILYστις ρυθμίσεις build για να εκτελεστεί αργότερα.
Συγκεκριμένα, η persistence μέθοδος μέσω zshrc περιλαμβάνει τη δημιουργία αρχείου ~/.zshrc_aliases που περιέχει το κακόβουλο payload και μια προσθήκη εντολής στο ~/.zshrc, εξασφαλίζοντας την εκτέλεση του κακόβουλου κώδικα κάθε φορά που ξεκινά μια νέα terminal session.
Αντίστοιχα, μέσω της dock persistence τεχνικής, το malware κατεβάζει ένα υπογεγραμμένο εργαλείο dockutil από command-and-control (C2) server και δημιουργεί μια ψεύτικη εφαρμογή Launchpad, αντικαθιστώντας τη διαδρομή της αυθεντικής εφαρμογής με τη μολυσμένη. Αυτό σημαίνει πως όταν ο χρήστης εκκινεί το Launchpad, εκτελείται ταυτόχρονα και το κακόβουλο λογισμικό.
Γιατί Είναι Ιδιαίτερα Επικίνδυνο το XCSSET;
Το XCSSET δεν περιορίζεται σε μια απλή επίθεση. Διαθέτει μια σειρά από modules που του επιτρέπουν να:
- Υποκλέπτει συνδέσεις και διαπιστευτήρια.
- Εξάγει ευαίσθητες πληροφορίες από browsers, chat εφαρμογές και το Notes app.
- Παραβιάζει κρυπτογραφημένα ψηφιακά πορτοφόλια και μεταφέρει assets.
- Καταγράφει δραστηριότητες χρήστη και τροποποιεί δεδομένα συστήματος.
Λόγω του modular χαρακτήρα του, το XCSSET μπορεί να προσαρμοστεί εύκολα για νέες επιθέσεις, γεγονός που το καθιστά μία από τις πιο απειλητικές οικογένειες malware για macOS.
Πώς Μπορείτε να Προστατευτείτε;
Η Microsoft και άλλες εταιρείες ασφάλειας προτείνουν τα ακόλουθα μέτρα:
- Αποφύγετε την εγκατάσταση Xcode projects από ανεπίσημα repositories – Το XCSSET διαδίδεται κυρίως μέσω μολυσμένων projects.
- Ενεργοποιήστε το Gatekeeper και το XProtect – Αυτά τα εργαλεία της Apple μπορούν να αποτρέψουν την εκτέλεση κακόβουλου κώδικα.
- Ελέγχετε τα περιεχόμενα του
~/.zshrcκαι του dock σας – Αν υπάρχουν άγνωστες προσθήκες, ερευνήστε τις. - Αναβαθμίστε το macOS και τις εφαρμογές σας – Οι νεότερες εκδόσεις του λειτουργικού μπορούν να κλείσουν γνωστές ευπάθειες.
- Χρησιμοποιήστε Endpoint Security Software – Εξειδικευμένες λύσεις μπορούν να ανιχνεύσουν και να μπλοκάρουν το malware πριν προκαλέσει ζημιά.
Συμπέρασμα
Η νέα παραλλαγή του XCSSET δείχνει πως οι απειλές για macOS συνεχίζουν να εξελίσσονται, με τους επιτιθέμενους να βρίσκουν νέους τρόπους για να διατηρούν την παρουσία τους στα συστήματα των θυμάτων. Οι χρήστες macOS, ιδιαίτερα οι developers, πρέπει να είναι ιδιαίτερα προσεκτικοί όσον αφορά τα αρχεία και τα projects που κατεβάζουν, καθώς και να λαμβάνουν μέτρα για τη διασφάλιση των δεδομένων τους.
Πηγές: BleepingComputer, MicrosoftThreatIntelligence
