Varianta de malware XCSSET
Cercetătorii au identificat o nouă variantă a malware-ului XCSSET macOS, marcând prima sa iterație cunoscută din 2022. Această versiune actualizată a fost observată în atacuri limitate, prezentând tehnici îmbunătățite de ofuscare, mecanisme de persistență îmbunătățite și noi strategii de infecție. Aceste progrese se bazează pe capacitățile existente ale XCSSET, care includ compromiterea portofelelor digitale, extragerea datelor din aplicația Notes și exfiltrarea informațiilor sensibile ale sistemului.
Cuprins
O amenințare persistentă din 2020
XCSSET a apărut pentru prima dată în august 2020 ca o amenințare macOS modulară care se răspândește în principal prin infectarea proiectelor Apple Xcode. De-a lungul timpului, malware-ul a evoluat, adaptându-se la versiunile mai noi de macOS și chiar la chipset-urile M1 ale Apple. Până la jumătatea anului 2021, cercetătorii în securitate cibernetică au descoperit că XCSSET a fost modificat pentru a sifona datele din diverse aplicații, inclusiv Google Chrome, Telegram, Evernote, Opera, Skype, WeChat și aplicațiile native ale Apple, cum ar fi Contacte și Note.
Exploatarea vulnerabilităților pentru supraveghere
Unul dintre aspectele mai îngrijorătoare ale evoluției XCSSET este capacitatea sa de a exploata vulnerabilitățile pentru a-și extinde acoperirea. În 2021, cercetătorii au descoperit că malware-ul a folosit CVE-2021-30713, o eroare de ocolire a cadrului de transparență, consimțământ și control (TCC). Prin exploatarea acestui defect, XCSSET ar putea face capturi de ecran ale desktop-ului victimei fără a avea nevoie de permisiuni suplimentare, demonstrând adaptabilitatea sa în profitul de lacunele de securitate.
Ține pasul cu actualizările macOS
Chiar și după expunerea publică a capacităților sale, XCSSET a continuat să evolueze. La peste un an de la actualizarea sa din 2021, malware-ul a primit o altă revizuire pentru a asigura compatibilitatea cu macOS Monterey. În ciuda eforturilor continue de cercetare și monitorizare, originea XCSSET rămâne un mister, ceea ce îl face o preocupare persistentă pentru utilizatorii macOS.
Obfuscare și persistență: cele mai recente progrese
Cea mai recentă iterație a XCSSET se concentrează pe a face detectarea și eliminarea mai dificile. Cu tehnici avansate de ofuscare și mecanisme de persistență consolidate, malware-ul este conceput pentru a evita analiza de securitate, asigurându-se în același timp că rămâne activ. Unul dintre cele mai noi trucuri include lansarea automată cu fiecare nouă sesiune de shell, cimentându-și și mai mult poziția pe sistemele infectate.
Manipularea macOS Dock pentru execuție ascunsă
Printre metodele noi pe care XCSSET le folosește pentru persistență este manipularea macOS Dock. Programul malware descarcă o versiune semnată a utilitarului dockutil de pe un server Command-and-Control pentru a gestiona elementele Dock. Apoi creează o aplicație Launchpad contrafăcută și înlocuiește calea legitimă a Launchpad în Dock. Drept urmare, de fiecare dată când un utilizator lansează Launchpad, aplicația legitimă și sarcina utilă amenințătoare sunt executate, permițând malware-ului să funcționeze nedetectat.
O amenințare continuă fără o origine clară
Reapariția XCSSET subliniază adaptabilitatea și rezistența amenințărilor macOS. Cu fiecare versiune nouă, își perfecționează tactica pentru a rămâne înaintea apărării de securitate, făcând esențială vigilența continuă. Deși originile sale rămân necunoscute, un lucru este clar: XCSSET continuă să fie o provocare formidabilă atât pentru profesioniștii în securitate cibernetică, cât și pentru utilizatorii macOS.
