متغيرات البرامج الضارة XCSSET
تمكن الباحثون من تحديد نسخة جديدة من برنامج XCSSET الخبيث الذي يعمل على نظام التشغيل macOS، وهو ما يمثل أول تكرار معروف له منذ عام 2022. وقد لوحظ هذا الإصدار المحدث في هجمات محدودة، حيث أظهر تقنيات تشويش محسنة وآليات ثبات محسنة واستراتيجيات إصابة جديدة. وتعتمد هذه التطورات على قدرات XCSSET الحالية، والتي تشمل اختراق المحافظ الرقمية واستخراج البيانات من تطبيق Notes واستخراج معلومات النظام الحساسة.
جدول المحتويات
تهديد مستمر منذ عام 2020
ظهرت XCSSET لأول مرة في أغسطس 2020 كتهديد معياري لنظام التشغيل macOS انتشر في المقام الأول عن طريق إصابة مشاريع Apple Xcode. بمرور الوقت، تطورت البرامج الضارة، وتكيفت مع إصدارات macOS الأحدث وحتى شرائح M1 من Apple. بحلول منتصف عام 2021، وجد باحثو الأمن السيبراني أن XCSSET قد تم تعديله لسحب البيانات من تطبيقات مختلفة، بما في ذلك Google Chrome وTelegram وEvernote وOpera وSkype وWeChat وتطبيقات Apple الأصلية مثل Contacts وNotes.
استغلال الثغرات الأمنية للمراقبة
أحد الجوانب الأكثر إثارة للقلق في تطور XCSSET هو قدرته على استغلال الثغرات الأمنية لتوسيع نطاقه. في عام 2021، اكتشف الباحثون أن البرنامج الخبيث استغل ثغرة CVE-2021-30713، وهي ثغرة في إطار الشفافية والموافقة والتحكم (TCC). من خلال استغلال هذا الخلل، يمكن لـ XCSSET التقاط لقطات شاشة لسطح مكتب الضحية دون الحاجة إلى أذونات إضافية، مما يدل على قدرته على التكيف في الاستفادة من الثغرات الأمنية.
مواكبة تحديثات macOS
حتى بعد الكشف العام عن قدراته، استمر XCSSET في التطور. بعد أكثر من عام من تحديثه لعام 2021، تلقى البرنامج الخبيث مراجعة أخرى لضمان التوافق مع macOS Monterey. وعلى الرغم من جهود البحث والمراقبة المستمرة، لا يزال أصل XCSSET لغزًا، مما يجعله مصدر قلق مستمر لمستخدمي macOS.
التعتيم والاستمرار: أحدث التطورات
تركز أحدث نسخة من XCSSET على جعل عملية الكشف والإزالة أكثر صعوبة. باستخدام تقنيات التعتيم المتقدمة وآليات الثبات المعززة، تم تصميم البرامج الضارة للتهرب من تحليل الأمان مع ضمان بقائها نشطة. تتضمن إحدى حيلها الأحدث التشغيل تلقائيًا مع كل جلسة جديدة، مما يعزز موطئ قدمها على الأنظمة المصابة.
التلاعب بـ macOS Dock لتنفيذ عمليات خفية
من بين الأساليب الجديدة التي يستخدمها XCSSET للاستمرار التلاعب بـ macOS Dock. يقوم البرنامج الخبيث بتنزيل نسخة موقعة من أداة dockutil من خادم Command-and-Control لإدارة عناصر Dock. ثم يقوم بإنشاء تطبيق Launchpad مزيف واستبدال مسار Launchpad الشرعي في Dock. ونتيجة لذلك، في كل مرة يقوم فيها المستخدم بتشغيل Launchpad، يتم تنفيذ التطبيق الشرعي والحمولة المهددة، مما يسمح للبرنامج الخبيث بالعمل دون اكتشافه.
تهديد مستمر بلا أصل واضح
يؤكد ظهور XCSSET من جديد على قدرة التهديدات التي تواجه نظام التشغيل macOS على التكيف والمرونة. مع كل إصدار جديد، يعمل على تحسين تكتيكاته للبقاء في طليعة الدفاعات الأمنية، مما يجعل اليقظة المستمرة أمرًا ضروريًا. وبينما تظل أصوله غير معروفة، فإن هناك أمرًا واحدًا واضحًا: لا يزال XCSSET يشكل تحديًا هائلاً لمحترفي الأمن السيبراني ومستخدمي نظام التشغيل macOS على حد سواء.
