Saldırganlar, MacOS platformuna en büyük tehditlerXCSSET adlı kötü amaçlı yazılım, Microsoft uyarı yapıyor. Yeni versiyon şimdiye kadar Apple geliştiricilerini hedefleyen bir avuç saldırıda görüldü, ancak önümüzdeki haftalarda erişimi çok daha uzun büyüyebilir.
XCSSET, Safari tarayıcılarından verileri okuyabilir ve dökebilir; JavaScript Backroors’u web sitelerine enjekte edin; Kurbanın Skype, Telegram, WeChat, Notes ve diğer uygulamalardan bilgi çalın; Ekran görüntüleri alın; dosyaları şifreleme; ve verileri saldırgan kontrollü sistemlere ekleyin. Gelişmiş gizleme yöntemleri, güncellenmiş kalıcılık mekanizmaları ve yeni enfeksiyon stratejileri içeren yeni varyant, 2022’den beri kötü amaçlı yazılım için bilinen ilk güncelleme, Microsoft Tehdit İstihbaratı bir X’e Gönderin Bu hafta.
Post’a göre, “Bu gelişmiş özellikler, bu kötü amaçlı yazılım ailesinin dijital cüzdanları hedefleme, Notlar uygulamasından veri toplama ve sistem bilgilerini ve dosyalarını açığa çıkarma gibi daha önce bilinen özelliklere katkıda bulunuyor.”
Trend Micro’daki araştırmacılar, XCODE geliştirici projeleriyle ilgili bir güvenlik olayını araştırırken 2020’de XCSSET’i ilk kez keşfetti; Geçmişte kötü amaçlı yazılım, yazılım geliştiricilerini hedefledi. güvenlik açıklarından yararlanmak Ve sonra projelerini enfekte etmek, bunu yayılmak için bir araç olarak kullanarak. Enfekte projelerden biri başka bir geliştirici tarafından indirilir ve oluşturulursa, XCSSET de projelerine bulaşır ve bu da başkaları tarafından indirilebilir. Bu, kötü amaçlı yazılım solucan yeteneği ve daha geniş bir tedarik zinciri saldırısı potansiyeli verir.
MacOS kötü amaçlı yazılımlarda önemli geliştirmeler
Saldırganların XCSSET’i yaymasını ve kötü niyetli faaliyetlerini gizlemesini kolaylaştıran çeşitli yeni özelliklerle, varyant modüler kötü amaçlı yazılım için önemli bir güncelleme gibi görünüyor.
Microsoft’a göre, XCSSET’te mevcut olan gelişmiş gizleme yöntemleri, XCODE projelerini enfekte etmek için yükler üretmek için önemli ölçüde daha randomize bir yaklaşım “kullanıyor.
Ve eski XCSSET varyantları kodlama için yalnızca XXD (HexDump) kullanılırken, en sonuncusu Base64’ü de içerir ve modül adlarını obsuscates de içerir. Microsoft, bunun kötü amaçlı yazılım modüllerinin niyetini belirlemeyi daha zor hale getirdiğini söyledi.
Operatörleri ayrıca varyantı iki yeni kalıcılık mekanizması ile donattılar: “ZSHRC” yöntemi ve “Dock” yöntemi. Önceki yöntemde, kötü amaçlı yazılım, Microsoft’a göre, yükü içeren ~/.zshrc_aliases adlı bir dosya oluşturur. Post’a göre, “Daha sonra, oluşturulan dosyanın her yeni kabuk oturumu başlatıldığında başlatıldığından emin olmak için ~/.ZSHRC dosyasına bir komut ekler ve kötü amaçlı yazılımların kabuk oturumları boyunca kalıcılığını garanti eder.”
Rıhtım yöntemi, Dock ve Control (C2) sunucusundan imzalı bir dockil aracı indirmeyi, dock öğelerini yönetmek için ve daha sonra sahte bir lansman rampası uygulaması oluşturmayı ve bu sahte olanla birlikte meşru lansman rampasının yol girişini değiştirmeyi içerir.
Microsoft’a göre, “Bu, Launchpad’in rıhtımdan her başlatıldığında, hem meşru fırlatma rampası hem de kötü amaçlı yükün yürütülmesini sağlar.”
Varyant ayrıca, yükün Xcode projelerine nereye yerleştirildiğini belirleyen yeni enfeksiyon yöntemleri de kullanır. Yöntem aşağıdaki seçeneklerden birinden seçilir: Target, Rule veya Forced_Strategy ise, ek bir yöntem, yükü oluşturma ayarlarının altına Target_device_family tuşunun içine yerleştirmeyi ve daha sonraki bir aşamada çalıştırmayı içerir.
MacOS Siber Savunucular İçin Tavsiye
Geleneksel olarak tehdit aktörleri için bir hedef olmasa da, macos Platform haline geldi Giderek daha fazla risk altında kötü amaçlı yazılımlara ve diğerlerine Güvenlik Tehditleri Son yıllarda, esas olarak Apple’ın küçülen bir PC pazarındaki artan pazar payı nedeniyle.
XCSSET ile bulaşmış Xcode projelerini indirmekten kaçınmak için Microsoft, geliştiricilerin ve kullanıcıların potansiyel olarak kötü amaçlı yazılımları yayacak “depolardan indirilen veya klonlanan Xcode projelerini her zaman incelemelerini ve doğrulamasını” önerir.
Microsoft’a göre, “Ayrıca yalnızca bir yazılım platformunun resmi uygulama mağazası gibi güvenilir kaynaklardan uygulamalar yüklemelidirler.”
Kullanıcıları Mac’te Endpoint için Microsoft Defender Yeni varyantı da dahil olmak üzere XCSSET’e karşı korunmalıdır. Şirket ekledi, çünkü kötü amaçlı yazılımların şu anda bilinen tüm sürümlerini algılayabilir.