Varianta malwaru XCSSET
Výzkumníci identifikovali novou variantu malwaru XCSSET macOS, což znamená jeho první známou iteraci od roku 2022. Tato aktualizovaná verze byla pozorována u omezených útoků, předváděla vylepšené techniky mlžení, vylepšené mechanismy perzistence a nové strategie infekce. Tato vylepšení staví na stávajících schopnostech XCSSET, které zahrnují kompromitování digitálních peněženek, extrahování dat z aplikace Notes a exfiltraci citlivých systémových informací.
Obsah
Trvalá hrozba od roku 2020
XCSSET se poprvé objevil v srpnu 2020 jako modulární hrozba pro macOS, která se primárně rozšířila infikováním projektů Apple Xcode. Postupem času se malware vyvíjel a přizpůsoboval se novějším verzím macOS a dokonce i čipsetům Apple M1. Do poloviny roku 2021 výzkumníci v oblasti kybernetické bezpečnosti zjistili, že XCSSET byl upraven tak, aby mohl vysílat data z různých aplikací, včetně Google Chrome, Telegram, Evernote, Opera, Skype, WeChat a nativních aplikací Apple, jako jsou Kontakty a Poznámky.
Zneužívání zranitelností pro sledování
Jedním z nejvíce znepokojivých aspektů evoluce XCSSET je jeho schopnost využívat zranitelnosti k rozšíření svého dosahu. V roce 2021 výzkumníci zjistili, že malware využíval CVE-2021-30713, chybu obcházení rámce Transparency, Consent and Control (TCC). Využitím této chyby mohl XCSSET pořizovat snímky plochy oběti, aniž by potřeboval další oprávnění, což prokázalo svou přizpůsobivost při využívání bezpečnostních mezer.
Udržení tempa s aktualizacemi macOS
I po zveřejnění svých schopností se XCSSET nadále vyvíjel. Více než rok po aktualizaci z roku 2021 obdržel malware další revizi, aby byla zajištěna kompatibilita s macOS Monterey. Navzdory probíhajícímu výzkumu a snahám o monitorování zůstává původ XCSSET záhadou, a proto je pro uživatele macOS trvalým problémem.
Zatemnění a vytrvalost: Nejnovější pokroky
Nejnovější iterace XCSSET se zaměřuje na ztížení detekce a odstranění. Díky pokročilým technikám zmatku a posíleným mechanismům perzistence je malware navržen tak, aby se vyhnul bezpečnostní analýze a zároveň zajistil, že zůstane aktivní. Jeden z jeho nejnovějších triků zahrnuje automatické spouštění s každou novou relací shellu, což dále upevňuje jeho oporu na infikovaných systémech.
Manipulace s macOS Dock pro utajené spuštění
Mezi novými metodami, které XCSSET používá pro vytrvalost, je manipulace s macOS Dock. Malware stáhne podepsanou verzi nástroje dockutil ze serveru Command-and-Control pro správu položek Docku. Poté vytvoří padělanou aplikaci Launchpad a nahradí cestu legitimního Launchpadu v Docku. Výsledkem je, že pokaždé, když uživatel spustí Launchpad, spustí se legitimní aplikace a hrozící užitečné zatížení, což umožní, aby malware fungoval nedetekován.
Pokračující hrozba bez jasného původu
Znovuobjevení XCSSET podtrhuje přizpůsobivost a odolnost hrozeb pro macOS. S každou novou verzí zdokonaluje svou taktiku, aby si udržela náskok před bezpečnostní obranou, a proto je nezbytná neustálá ostražitost. I když jeho původ zůstává neznámý, jedna věc je jasná: XCSSET je i nadále obrovskou výzvou pro profesionály v oblasti kybernetické bezpečnosti i pro uživatele macOS.
