نوع بدافزار XCSSET

محققان نوع جدیدی از بدافزار XCSSET macOS را شناسایی کرده‌اند که اولین تکرار شناخته شده آن از سال 2022 است. این نسخه به روز شده در حملات محدودی مشاهده شده است که تکنیک‌های مبهم سازی پیشرفته، مکانیسم‌های پایداری بهبود یافته و استراتژی‌های عفونت جدید را به نمایش می‌گذارد. این پیشرفت‌ها مبتنی بر قابلیت‌های موجود XCSSET است که شامل به خطر انداختن کیف پول‌های دیجیتال، استخراج داده‌ها از برنامه Notes و استخراج اطلاعات حساس سیستم می‌شود.

یک تهدید دائمی از سال 2020

XCSSET برای اولین بار در آگوست 2020 به عنوان یک تهدید ماژولار macOS که عمدتاً با آلوده کردن پروژه های Apple Xcode گسترش می یابد، آشکار شد. با گذشت زمان، این بدافزار تکامل یافته و با نسخه‌های جدیدتر macOS و حتی چیپ‌ست‌های M1 اپل سازگار شده است. در اواسط سال 2021، محققان امنیت سایبری دریافتند که XCSSET برای سیفون کردن داده‌های برنامه‌های مختلف، از جمله Google Chrome، Telegram، Evernote، Opera، Skype، WeChat و برنامه‌های بومی اپل مانند Contacts و Notes تغییر یافته است.

بهره برداری از آسیب پذیری ها برای نظارت

یکی از جنبه‌های نگران‌کننده‌تر تکامل XCSSET، توانایی آن در بهره‌برداری از آسیب‌پذیری‌ها برای گسترش دامنه آن است. در سال 2021، محققان کشف کردند که این بدافزار از CVE-2021-30713، یک اشکال دور زدن چارچوب شفافیت، رضایت و کنترل (TCC) استفاده کرده است. با بهره‌برداری از این نقص، XCSSET می‌تواند بدون نیاز به مجوزهای اضافی، اسکرین‌شات‌هایی از دسک‌تاپ قربانی بگیرد و سازگاری خود را در استفاده از حفره‌های امنیتی نشان دهد.

همگام با به‌روزرسانی‌های macOS

حتی پس از افشای عمومی قابلیت‌های خود، XCSSET به تکامل خود ادامه داد. بیش از یک سال پس از به‌روزرسانی در سال 2021، این بدافزار ویرایش دیگری برای اطمینان از سازگاری با macOS Monterey دریافت کرد. علیرغم تلاش‌های تحقیقاتی و نظارتی مداوم، منشا XCSSET همچنان یک راز باقی مانده است و آن را به نگرانی دائمی برای کاربران macOS تبدیل می‌کند.

مبهم سازی و تداوم: آخرین پیشرفت ها

آخرین نسخه XCSSET بر چالش برانگیزتر کردن تشخیص و حذف تمرکز دارد. با تکنیک‌های مبهم‌سازی پیشرفته و مکانیسم‌های پایداری تقویت‌شده، این بدافزار به گونه‌ای طراحی شده است که از تجزیه و تحلیل امنیتی فرار کند و در عین حال از فعال ماندن آن اطمینان حاصل کند. یکی از جدیدترین ترفندهای آن شامل راه اندازی خودکار با هر جلسه پوسته جدید است که جای پای خود را بیشتر بر روی سیستم های آلوده مستحکم می کند.

دستکاری Dock macOS برای اجرای مخفیانه

از جمله روش‌های جدیدی که XCSSET برای پایداری به کار می‌برد، دستکاری Dock macOS است. بدافزار یک نسخه امضا شده از ابزار dockutil را از یک سرور Command-and-Control دانلود می کند تا موارد Dock را مدیریت کند. سپس یک برنامه Launchpad تقلبی ایجاد می کند و مسیر قانونی Launchpad را در Dock جایگزین می کند. در نتیجه، هر بار که کاربر Launchpad را راه‌اندازی می‌کند، برنامه قانونی و بار تهدیدکننده اجرا می‌شود و به بدافزار اجازه می‌دهد تا بدون شناسایی کار کند.

تهدیدی مستمر بدون منشأ روشن

ظهور مجدد XCSSET بر سازگاری و انعطاف پذیری تهدیدات macOS تأکید می کند. با هر نسخه جدید، تاکتیک های خود را برای جلوتر از دفاع امنیتی اصلاح می کند و هوشیاری مداوم را ضروری می کند. در حالی که منشأ آن ناشناخته است، یک چیز واضح است: XCSSET همچنان یک چالش بزرگ برای متخصصان امنیت سایبری و کاربران macOS است.