XCSSET macOS kötü amaçlı yazılımlarının yeni, geliştirilmiş bir varyantı, Microsoft’un tehdit araştırmacıları tarafından “sınırlı saldırılarda” tespit edildi.
Xcsset macOS kötü amaçlı yazılım
Mac kullanıcılarını hedefleyen bilgi çalma ve arka kapı enjekte kötü amaçlı yazılımlarda xcsset.
Genellikle enfekte Xcode projeleri ile dağıtılır – MacOS için Apple’ın Resmi Entegre Geliştirme Ortamı (IDE) kullanılarak geliştirilen bir uygulama veya çerçeve oluşturan bir dosya, ayar ve yapılandırma koleksiyonu.
Tehdit yıllardır var. Geçmiş varyantlar, kötü niyetli eylemlerinden bazılarını gerçekleştirmek için sıfır gün güvenlik açıkları bile kullandı.
Telegram, Wechat, Evernote ve diğerleri gibi uygulamalardan veri alabildiği, tarayıcı çerezlerini ve diğer verileri çalabildiği bilinmektedir.
Şimdi Microsoft tarafından tespit edilen varyant, görünüşe göre Notes uygulamasından veri toplayabilir, sistem bilgilerini ve dosyalarını açıklayın ve dijital cüzdanları hedefler. Geliştirilmiş gizleme yöntemleri, kötü amaçlı yazılımların analizini daha zor hale getirir.
Yeni enfeksiyon, kalıcılık teknikleri
XCSSET, MacOS kullanıcılarının belirli bir alt kümesine yönelik görünen kötü amaçlı yazılımlardır: yazılım geliştiricileri.
“Kullanılan dağıtım yöntemi sadece akıllı olarak tanımlanabilir,” dedi Trend Micro araştırmacıları XCSSET’i ilk keşfettiklerinde.
“Etkilenen geliştiriciler, kötü niyetli truva atlarını, tehlikeye atılan Xcode projeleri şeklinde kullanıcılarına farkında olmadan dağıtacaklar ve dağıtılmış dosyayı (karma kontrol etmek gibi) doğrulamak için yöntemler, geliştiricilerin kötü niyetli dosyaları dağıttıklarının farkında olmadıkları için yardımcı olmayacaklar. “
Microsoft araştırmacıları, yeni varyant yeni enfeksiyon tekniklerini keşfetti.
“[It] yükün bir hedef xcode projesine yerleştirildiği için yeni yöntemler sunar. Yöntem aşağıdaki seçeneklerden birinden seçilir: Target, Kural veya Forced_Strategy. Ek bir yöntem, yükün Target_device_family tuşunun içine yerleştirilmesini ve oluşturma ayarlarının altına yerleştirilmesini ve ikinci bir aşamada çalıştırmayı içerir. ”
Kötü amaçlı yazılım ayrıca yeni kalıcılık mekanizmaları da kullanır:
- Adlı bir dosya oluşturur ~/.zshrc_aliasesyük yükü içerir ve her yeni kabuk oturumu başlatıldığında başlatacak bir komut ekler
- İmzalı indirir Dockil Rıhtım öğelerini yönetmek için bir komut ve kontrol sunucusundan araç, sahte bir lansman rampası uygulaması oluşturur ve meşru Launchpad’in rıhtımdaki yol girişini sahte olanla değiştirir. Sonuç? Launchpad rıhtımdan her başlatıldığında, hem meşru fırlatma rampası hem de kötü amaçlı yük yükü yürütülür.
Geliştiriciler, Xcode projelerini çevrimiçi depolardan, web sitelerinden ve geliştirici topluluklarından indirirken veya klonlarken dikkatli olmalıdır. Güvendiğiniz biri tarafından sağlanan projeler bile kontrol edilmelidir, çünkü projenin “enfekte” olduğunu bilmiyor olabilirler.