Вариант на злонамерен софтуер XCSSET
Изследователите са идентифицирали нов вариант на злонамерения софтуер XCSSET macOS, отбелязвайки първата му известна итерация от 2022 г. насам. Тази актуализирана версия е наблюдавана при ограничени атаки, демонстрирайки подобрени техники за обфускация, подобрени механизми за устойчивост и нови стратегии за заразяване. Тези подобрения се основават на съществуващите възможности на XCSSET, които включват компрометиране на цифрови портфейли, извличане на данни от приложението Notes и ексфилтриране на чувствителна системна информация.
Съдържание
Постоянна заплаха от 2020 г
XCSSET за първи път се появи на бял свят през август 2020 г. като модулна заплаха за macOS, която се разпространява основно чрез заразяване на проекти на Apple Xcode. С течение на времето злонамереният софтуер се разви, адаптирайки се към по-новите версии на macOS и дори към чипсетите M1 на Apple. До средата на 2021 г. изследователите на киберсигурността откриха, че XCSSET е модифициран, за да извлича данни от различни приложения, включително Google Chrome, Telegram, Evernote, Opera, Skype, WeChat и собствените приложения на Apple като Контакти и Бележки.
Използване на уязвимости за наблюдение
Един от по-тревожните аспекти на еволюцията на XCSSET е способността му да използва уязвимости, за да разшири своя обхват. През 2021 г. изследователите откриха, че зловредният софтуер използва CVE-2021-30713, бъг за заобикаляне на рамка за прозрачност, съгласие и контрол (TCC). Използвайки този недостатък, XCSSET може да заснеме екранни снимки на работния плот на жертвата, без да се нуждае от допълнителни разрешения, демонстрирайки своята адаптивност при възползване от вратички в сигурността.
В крак с актуализациите на macOS
Дори след публичното излагане на възможностите му, XCSSET продължи да се развива. Повече от година след актуализацията си през 2021 г. злонамереният софтуер получи още една ревизия, за да осигури съвместимост с macOS Monterey. Въпреки продължаващите изследвания и усилия за наблюдение, произходът на XCSSET остава мистерия, което го прави постоянен проблем за потребителите на macOS.
Прикриване и постоянство: най-новите постижения
Последната итерация на XCSSET се фокусира върху това да направи откриването и премахването по-предизвикателни. С усъвършенствани техники за обфускация и подсилени механизми за устойчивост, зловредният софтуер е проектиран да избягва анализа на сигурността, като същевременно гарантира, че остава активен. Един от най-новите му трикове включва автоматично стартиране с всяка нова сесия на обвивката, което допълнително укрепва опората му върху заразените системи.
Манипулиране на macOS Dock за скрито изпълнение
Сред новите методи, които XCSSET използва за постоянство, е манипулирането на macOS Dock. Зловреден софтуер изтегля подписана версия на помощната програма dockutil от Command-and-Control сървър, за да управлява Dock елементи. След това създава фалшиво приложение Launchpad и замества легитимния път на Launchpad в Dock. В резултат на това всеки път, когато потребител стартира Launchpad, легитимното приложение и заплашителният полезен товар се изпълняват, което позволява на зловредния софтуер да работи незабелязано.
Продължаваща заплаха без ясен произход
Повторната поява на XCSSET подчертава адаптивността и устойчивостта на заплахите за macOS. С всяка нова версия той усъвършенства тактиката си, за да изпревари защитите на сигурността, което прави постоянната бдителност от съществено значение. Въпреки че произходът му остава неизвестен, едно нещо е ясно: XCSSET продължава да бъде огромно предизвикателство както за специалистите по киберсигурност, така и за потребителите на macOS.
