Microsoft Tehdit İstihbaratı, 2022’den bu yana ilk güncellemesini işaretleyerek XCSSET MacOS kötü amaçlı yazılımının yeni bir varyantını belirledi.
Bu sofistike kötü amaçlı yazılım, Apple geliştiricileri için kritik bir araç olan Xcode projelerini enfekte ederek MacOS kullanıcılarını hedeflemeye devam ediyor.
En son varyant, gelişmiş gizleme tekniklerini, güncellenmiş kalıcılık mekanizmalarını ve yeni enfeksiyon stratejilerini tanıtarak tespit edilmesini ve hafifletilmesini daha zor hale getirir.
Kötü amaçlı yazılım artık yük oluşturmak için önemli ölçüde randomize kodlama yöntemleri kullanıyor.
Yalnızca güvenen önceki sürümlerin aksine xxd (HexDump) Aracı, yeni varyant, randomize yinelemelerle Base64 kodlamasını içerir.
Ek olarak, kodundaki modül adları, analiz ve algılama çabalarını daha da karmaşıklaştırır.
Kalıcılığı sağlamak için, kötü amaçlı yazılım iki farklı yöntem kullanır: “ZSHRC” yöntemi ve “Dock” yöntemi.
“ZSHRC” yöntemi, adlı bir dosya oluşturmayı içerir ~/.zshrc_aliases kötü amaçlı yükü içeren ve bir komut ekleme ~/.zshrc Her yeni kabuk oturumu sırasında yürütmek için dosya.
“Rıhtım” yöntemi daha karmaşıktır, imzalı bir indirim dockutil Bir komut ve kontrol (C2) sunucusundan araç.
Bu araç, rıhtımdaki meşru Launchpad uygulamasını, hem meşru uygulamayı hem de kötü amaçlı yükü aynı anda çalıştıran sahte bir uygulamayla değiştirmek için kullanılır.
Yeni enfeksiyon stratejileri
Güncellenmiş XCSSET varyantı ayrıca yükünü Xcode projelerine gömmek için yenilikçi yöntemler sunar.
Birden çok teknikten seçer – Tartış, Kural veya Forced_Strategy – veya yükünü içine yerleştirir TARGET_DEVICE_FAMILY Yapı ayarları altında anahtar.
Microsoft’a göre, bu yaklaşımlar kötü amaçlı yazılımların proje derlemesinin sonraki aşamalarında yürütülmesine izin vererek, şüphesiz kullanıcıları bulaşma şansını artırıyor.
Bu yeni varyant, XCSSET’in notlar gibi uygulamalardan veri çalmayı, dijital cüzdanları hedefleme, sistem dosyaları eksifiltrasyonunu ve hatta fidye yazılımı saldırılarını başlatmayı içeren daha önce bilinen özellikleri üzerinde oluşturulur.
Daha önceki sürümler, Safari ve diğer tarayıcılardaki güvenlik açıklarından, çerezleri çalmak ve evrensel site çapraz senaryo (UXSS) saldırıları yoluyla web sitelerine kötü niyetli JavaScript enjekte etmek için kullanmıştır.
Bu saldırılar, kimlik hırsızlığı, kripto para birimi adres değiştirme ve hassas verilere yetkisiz erişim izin verdi.
Bu tehdide karşı korunmak için kullanıcılara şu tavsiye edilir:
- Depolardan indirilen veya klonlanan Xcode projelerini inceleyin ve doğrulayın.
- Yalnızca resmi uygulama mağazaları gibi güvenilir kaynaklardan uygulamalar yükleyin.
- Bu varyant algılayabilen Mac’te uç nokta için Microsoft Defender gibi sağlam uç nokta güvenlik çözümleri kullanın.
Bu önlemleri benimseyerek, geliştiriciler ve kuruluşlar bu gelişen kötü amaçlı yazılım tehdidine maruz kaldıklarını en aza indirebilirler.
PCI DSS 4.0 ve Tedarik Zinciri Saldırısı Önleme – Ücretsiz Web Semineri