XCSSET varijanta zlonamjernog softvera
Istraživači su identificirali novu varijantu zlonamjernog softvera XCSSET macOS, označavajući njegovu prvu poznatu iteraciju od 2022. Ova ažurirana verzija primijećena je u ograničenim napadima, pokazujući poboljšane tehnike maskiranja, poboljšane mehanizme postojanosti i nove strategije infekcije. Ova poboljšanja grade se na postojećim mogućnostima XCSSET-a, koje uključuju kompromitiranje digitalnih novčanika, izvlačenje podataka iz aplikacije Notes i eksfiltraciju osjetljivih informacija sustava.
Sadržaj
Stalna prijetnja od 2020
XCSSET je prvi put izašao na vidjelo u kolovozu 2020. kao modularna macOS prijetnja koja se primarno širila zarazom Apple Xcode projekata. S vremenom se zloćudni softver razvijao, prilagođavajući se novijim verzijama macOS-a, pa čak i Appleovim M1 čipsetovima. Do sredine 2021. istraživači kibernetičke sigurnosti otkrili su da je XCSSET modificiran za crpljenje podataka iz raznih aplikacija, uključujući Google Chrome, Telegram, Evernote, Operu, Skype, WeChat i Appleove izvorne aplikacije kao što su Kontakti i Bilješke.
Iskorištavanje ranjivosti za nadzor
Jedan od zabrinjavajućih aspekata evolucije XCSSET-a je njegova sposobnost iskorištavanja ranjivosti kako bi proširio svoj doseg. Godine 2021. istraživači su otkrili da je zlonamjerni softver iskoristio CVE-2021-30713, grešku zaobilaženja okvira transparentnosti, pristanka i kontrole (TCC). Iskorištavanjem ove greške, XCSSET je mogao snimiti snimke zaslona žrtvine radne površine bez potrebe za dodatnim dozvolama, pokazujući svoju prilagodljivost u iskorištavanju sigurnosnih rupa.
Idemo u korak s ažuriranjima macOS-a
Čak i nakon javnog izlaganja svojih mogućnosti, XCSSET se nastavio razvijati. Više od godinu dana nakon ažuriranja 2021. zlonamjerni je softver dobio još jednu reviziju kako bi se osigurala kompatibilnost s macOS Monterey. Unatoč stalnim istraživanjima i naporima nadgledanja, podrijetlo XCSSET-a ostaje misterij, što ga čini stalnim problemom za korisnike macOS-a.
Zamagljivanje i postojanost: najnoviji napredak
Najnovija iteracija XCSSET-a usmjerena je na to da otkrivanje i uklanjanje učini izazovnijim. S naprednim tehnikama zamagljivanja i pojačanim mehanizmima postojanosti, zlonamjerni je softver dizajniran da izbjegne sigurnosnu analizu, a pritom osigurava da ostane aktivan. Jedan od njegovih najnovijih trikova uključuje automatsko pokretanje sa svakom novom sesijom ljuske, dodatno učvršćujući svoje uporište na zaraženim sustavima.
Manipuliranje macOS Dock za prikriveno izvođenje
Među novim metodama koje XCSSET koristi za postojanost je manipuliranje macOS Dockom. Zlonamjerni softver preuzima potpisanu verziju uslužnog programa dockutil s Command-and-Control poslužitelja za upravljanje Dock stavkama. Zatim stvara krivotvorenu Launchpad aplikaciju i zamjenjuje legitimnu Launchpadovu stazu u Docku. Kao rezultat toga, svaki put kada korisnik pokrene Launchpad, izvršavaju se legitimna aplikacija i prijeteći sadržaj, omogućujući zlonamjernom softveru da radi neotkriveno.
Kontinuirana prijetnja bez jasnog podrijetla
Ponovno pojavljivanje XCSSET-a naglašava prilagodljivost i otpornost prijetnji macOS-a. Sa svakom novom verzijom usavršava svoju taktiku kako bi ostao ispred sigurnosnih obrana, zbog čega je stalna budnost neophodna. Dok njegovo podrijetlo ostaje nepoznato, jedna je stvar jasna: XCSSET je i dalje veliki izazov za stručnjake za kibernetičku sigurnost i korisnike macOS-a.
