XCSSET MacOS modüler kötü amaçlı yazılımının yeni bir varyantı, kullanıcıların hassas bilgileri hedefleyen, dijital cüzdanlar ve Meşru Notlar uygulamasından veriler de dahil olmak üzere saldırılarda ortaya çıktı.
Kötü amaçlı yazılım genellikle enfekte Xcode projeleri aracılığıyla dağıtılır. En az beş yıldır var ve her güncelleme XCSSET’in gelişiminde bir kilometre taşını temsil ediyor. Mevcut iyileştirmeler 2022’den beri gözlemlenen ilk gelişmelerdir.
Microsoft’un Tehdit İstihbarat Ekibi, sınırlı saldırılardaki en son varyantı tanımladı ve geçmiş XCSSET varyantlarına kıyasla, yeni olanın gelişmiş kod gizlemesi, daha iyi kalıcılık ve yeni enfeksiyon stratejileri içerdiğini söylüyor.
Mayıs 2021’de Apple, kötü amaçlı yazılım geliştiricisinin yeteneklerinin bir göstergesi olan XCSSET tarafından aktif olarak sıfır gün olarak kullanılan bir güvenlik açığını düzeltti.
Vahşi doğada yeni XCSSET varyantı
Microsoft, bugün XCSSET macOS kötü amaçlı yazılımlarının bir varyantını kullanan yeni saldırıları uyarıyor. Araştırmacıların tespit ettiği temel değişikliklerden bazıları şunlardır:
- Yeni şaşkınlık başından sonuna kadar Yineleme sayısında değişen hem Base64 hem de XXD (HexDump) yöntemlerine dayanan kodlama teknikleri. Koddaki modül adları da gizlenmiştir, bu da niyetlerini analiz etmek daha zorlaştırır
- İki kalıcılık tekniği (zshrc Ve rıhtım)
- Yeni Xcode Enfeksiyon Yöntemleri: Kötü amaçlı yazılım, yükü Xcode projesine yerleştirmek için hedef, kural veya zorbalık_strategy seçeneklerini kullanır. Ayrıca yükü, oluşturma ayarları içindeki Target_device_family tuşuna ekleyebilir ve daha sonraki bir aşamada çalıştırabilir
İçin zshrc Kalıcılık yöntemi olan yeni XCSSET varyantı, yükü içeren ve ~/.ZSHRC dosyasında bir komut ekleyen ~/.zshrc_aliases adlı bir dosya oluşturur. Bu şekilde, oluşturulan dosya yeni bir kabuk oturumu başladığında başlatılır.
İçin rıhtım Dock öğelerini yönetmek için saldırganın komut ve kontrol (C2) sunucusundan imzalı bir rıhtım aracı indirilir.
XCSSET daha sonra yükle ilgili kötü amaçlı bir Launchpad uygulaması oluşturur ve meşru uygulamanın sahte olanı işaret etme yolunu değiştirir. Sonuç olarak, rıhtımdaki Launchpad başladığında, hem gerçek uygulama hem de kötü amaçlı yük yükü yürütülür.
Xcode, entegre bir geliştirme ortamı (IDE) ile birlikte gelen ve tüm Apple platformları için uygulamaların oluşturulmasına, test edilmesine ve dağıtılmasına izin veren Apple’ın geliştirici araç setidir.
Bir Xcode projesi sıfırdan oluşturulabilir veya çeşitli depolardan indirilen/klonlanan kaynaklara göre oluşturulabilir. Onları hedefleyerek, XCSSET operatörü daha büyük bir kurban havuzuna ulaşabilir.
XCSSET, sistemdeki verileri ayrıştırmak, hassas bilgileri toplamak ve dışarı atacak birden fazla modül bulunur. Hedeflenen veri türü, girişler, sohbet uygulamaları ve tarayıcılardan gelen bilgiler, notlar uygulaması, dijital cüzdanlar, sistem bilgileri ve dosyalar içerir.
Microsoft, gayri resmi depolardan klonlanan Xcode projelerinin ve kod tabanlarının denetlenmesini ve doğrulanmasını önerir, çünkü bunlar gizlenmiş kötü amaçlı yazılımları veya arka kolları gizleyebilir.