Microsoft, Apple geliştiricilerini macOS’u hedefleyen yeni bir XCSSET kötü amaçlı yazılım varyantı konusunda uyarıyor ve gizli enfeksiyonlar ve veri hırsızlığı yoluyla güvenlik riskleri oluşturuyor.
Microsoft Tehdit İstihbaratı’ndaki siber güvenlik araştırmacıları, MacOS kullanıcılarını hedefleyen XCSSET kötü amaçlı yazılımların yeni bir yükünü belirlediler. Bu modüler kötü amaçlı yazılım, Xcode projelerini enfekte ederek MacOS platformunda uygulamalar oluşturmak için gerekli araçları enfekte ederek Apple geliştiricilere saldırmaya odaklanmaktadır.
Bu güncellenmiş versiyonun mevcut yayılımı sınırlı görünse de, uzmanlar geliştiricileri ve kuruluşları sistemlerini korumak için ihtiyati önlemler uygulamaya çağırıyor.
XCSSET nedir?
XCSSET ilk olarak 2020’de Trend Micro tarafından tanımlandı. O zamandan beri sinsi bir kötü amaçlı yazılım parçası olarak ün kazandı. Bu son sürüm, selefinin tasarımında önemli iyileştirmelerle yeteneklerine dayanıyor ve bu da tespit etmeyi ve savunmayı daha da zorlaştırıyor.
Microsoft’un bulgularına göre, yeni varyant gelişmiş gizleme teknikleri, daha sofistike kalıcılık mekanizmaları ve enfekte sistemleri için güncellenmiş yöntemlerle donatılmıştır. Bu yükseltmeler, XCSSet’e dijital cüzdanları hedeflemek, Notlar uygulamasından veri çalmak, hassas sistem bilgilerini çalmak ve dosyaları eksifrasyon gibi farklı kötü amaçlı etkinliklerin bir karışımını gerçekleştirebilen kalıcı ve gizli bir tehdit haline getirir.
Tespit edilmesi daha zor
Bu yeni XCSSET varyantının ana yeteneklerinden biri, kaçırma odaklanmasıdır. Anti-virüs ve diğer güvenlik araçları tarafından algılanmaktan kaçınmak için, kötü amaçlı yazılım yüklerini oldukça rastgele bir şekilde oluşturur. Kodu analiz etmeye çalışan araştırmacılar için zorluklar yaratarak hem kodlama sürecini hem de kullanılan yinelemelerin sayısını randomize eder.
Dahası, XCSSET’in eski sürümleri, yüklerini kodlamak için tek bir araca (HexDump) dayanıyordu. Ancak en son sürüm, Arsenaline Base64 kodlama ekler ve analiz çabalarını daha da karmaşıklaştırır. Kötü amaçlı yazılım modüllerinin adları bile gizlenmiştir, bu da koddaki amaçlarını veya işlevlerini ayırt etmeyi zorlaştırır.
Çıkarılması zor
Yeni XCSSET varyantı, yeniden başlatma veya kullanıcı oturumundan sonra bile enfekte sistemlerde aktif kalmasını sağlamak için iki yenilikçi yöntem kullanır.
- “Zshrc” yöntemi: Bu taktik,
~/.zshrc_aliasesKötü niyetli yükü barındırmak için. Kötü amaçlı yazılım daha sonra manipüle eder.~/.zshrcYapılandırma dosyası, yeni bir kabuk oturumu başladığında kötü amaçlı dosyayı otomatik olarak yükleyen bir komut ekleyin. Bu, bir kullanıcının terminallerini her açtığında, kötü amaçlı yazılımın arka planda etkinleştirildiği anlamına gelir. - “Rıhtım” yöntemi: Bu yaklaşım macOS iskelesini ele geçirir. Kötü amaçlı yazılım, dock öğelerini değiştirmek için uzak komut ve kontrol sunucusundan “Dockutil” adlı imzalı bir yardımcı programı indirir. Meşru “Launchpad” uygulamasını kötü amaçlı bir sürümle değiştirir ve kullanıcının rıhtımla her etkileşime girdiğinde kötü amaçlı yazılımın yürütülmesini sağlar.
Xcode projelerini hedefleme
Adından da anlaşılacağı gibi, XCSSET öncelikle Apple’ın macOS için güçlü entegre geliştirme ortamı (IDE) Xcode’u hedefler. Kötü amaçlı yazılım, üç yerleştirme stratejisinden birini kullanarak Xcode projelerine sızıyor: HEDEF– KURALveya Forced_strategy. Bu stratejiler, kötü amaçlı yükün proje dosyalarına nasıl ve nerede gömüldüğünü belirler.
Ayrıca, kötü amaçlı yazılım hedefleyebilir. TARGET_DEVICE_FAMILY Projenin Yapı Ayarları’nda anahtar. Kodunu buraya ekleyerek, XCSSET, yükün yalnızca uygulama, belirli cihazlarda oluşturulduğunda ve çalıştırıldığında etkinleştirilmesini sağlar ve geliştirme veya test aşamaları sırasında algılamadan kaçınır.
Microsoft Tehdit İstihbaratı, Wild’a Xcode projelerini enfekte ederek kullanıcıları hedefleyen sofistike bir modüler macOS kötü amaçlı yazılım olan yeni bir XCSSET varyantını ortaya çıkardı. Şu anda sadece bu yeni XCSSET varyantını sınırlı saldırılarda görürken, bu bilgileri paylaşıyoruz… pic.twitter.com/owfsikxbzb
– Microsoft Tehdit İstihbaratı (@MSftSecintel) 17 Şubat 2025
Kendinizi nasıl koruyabilirsiniz
Bir Apple geliştiricisi veya genel olarak MacOS kullanıcısıysanız, cihazlarınızı XCSSET kötü amaçlı yazılımlardan korumak için bazı basit ama hayati ipuçları:
- Xcode projelerini inceleyin: Özellikle harici depolardan indirilmişse veya üçüncü taraflarca paylaşıldıklarında, Xcode projelerini daima gözden geçirin ve doğrulayın.
- Güvenilir kaynaklara sadık kalın: Uygulamaları ve araçları yalnızca resmi Apple kanallarından veya saygın yazılım platformlarından indirin. Üçüncü taraf uygulama mağazalarından veya resmi olmayan indirmelerden kaçının.
- Güncellemelere ayak uydurun: Microsoft, Apple ve diğer siber güvenlik kuruluşlarından en son güvenlik danışmanları ile güncel olun.