Wariant złośliwego oprogramowania XCSSET
Badacze zidentyfikowali nową odmianę złośliwego oprogramowania XCSSET macOS, co oznacza jego pierwszą znaną iterację od 2022 r. Ta zaktualizowana wersja została zaobserwowana w ograniczonych atakach, prezentując ulepszone techniki zaciemniania, ulepszone mechanizmy trwałości i nowe strategie infekcji. Te postępy opierają się na istniejących możliwościach XCSSET, które obejmują naruszanie cyfrowych portfeli, wyodrębnianie danych z aplikacji Notes i eksfiltrację poufnych informacji systemowych.
Spis treści
Stałe zagrożenie od 2020 r.
XCSSET po raz pierwszy pojawił się w sierpniu 2020 r. jako modułowe zagrożenie dla systemu macOS, które rozprzestrzeniało się głównie poprzez infekowanie projektów Apple Xcode. Z czasem złośliwe oprogramowanie ewoluowało, dostosowując się do nowszych wersji systemu macOS, a nawet chipsetów M1 firmy Apple. W połowie 2021 r. badacze cyberbezpieczeństwa odkryli, że XCSSET został zmodyfikowany w celu wysysania danych z różnych aplikacji, w tym Google Chrome, Telegram, Evernote, Opera, Skype, WeChat i natywnych aplikacji Apple, takich jak Kontakty i Notatki.
Wykorzystywanie luk w zabezpieczeniach do nadzoru
Jednym z bardziej niepokojących aspektów ewolucji XCSSET jest jego zdolność do wykorzystywania luk w celu rozszerzenia zasięgu. W 2021 r. badacze odkryli, że złośliwe oprogramowanie wykorzystywało CVE-2021-30713, błąd obejścia struktury Transparency, Consent and Control (TCC). Wykorzystując tę lukę, XCSSET mógł przechwytywać zrzuty ekranu pulpitu ofiary bez konieczności uzyskiwania dodatkowych uprawnień, co dowodzi jego zdolności adaptacji w wykorzystywaniu luk w zabezpieczeniach.
Nadążanie za aktualizacjami systemu macOS
Nawet po publicznym ujawnieniu jego możliwości, XCSSET nadal ewoluował. Ponad rok po aktualizacji z 2021 r. złośliwe oprogramowanie otrzymało kolejną wersję, aby zapewnić zgodność z systemem macOS Monterey. Pomimo trwających badań i wysiłków monitorujących, pochodzenie XCSSET pozostaje tajemnicą, co sprawia, że jest to stały problem dla użytkowników systemu macOS.
Zaciemnianie i wytrwałość: najnowsze osiągnięcia
Najnowsza wersja XCSSET koncentruje się na uczynieniu wykrywania i usuwania trudniejszym. Dzięki zaawansowanym technikom zaciemniania i wzmocnionym mechanizmom trwałości złośliwe oprogramowanie jest zaprojektowane tak, aby unikać analizy bezpieczeństwa, zapewniając jednocześnie, że pozostanie aktywne. Jedną z jego najnowszych sztuczek jest automatyczne uruchamianie się z każdą nową sesją powłoki, co jeszcze bardziej umacnia jego pozycję w zainfekowanych systemach.
Manipulowanie Dockiem macOS w celu ukrytego wykonywania
Wśród nowych metod, które XCSSET wykorzystuje do trwałości, jest manipulowanie Dockiem macOS. Złośliwe oprogramowanie pobiera podpisaną wersję narzędzia dockutil z serwera Command-and-Control, aby zarządzać elementami Dock. Następnie tworzy fałszywą aplikację Launchpad i zastępuje ścieżkę legalnego Launchpada w Docku. W rezultacie za każdym razem, gdy użytkownik uruchamia Launchpad, wykonywana jest legalna aplikacja i zagrażający ładunek, co pozwala złośliwemu oprogramowaniu działać niezauważonym.
Ciągłe zagrożenie bez jasnego źródła
Ponowne pojawienie się XCSSET podkreśla adaptowalność i odporność zagrożeń macOS. Z każdą nową wersją udoskonala swoje taktyki, aby wyprzedzać obronę bezpieczeństwa, co sprawia, że ciągła czujność jest niezbędna. Chociaż jego pochodzenie pozostaje nieznane, jedno jest jasne: XCSSET nadal stanowi ogromne wyzwanie zarówno dla profesjonalistów cyberbezpieczeństwa, jak i użytkowników macOS.
