Вариант вредоносного ПО XCSSET
Исследователи выявили новый вариант вредоносного ПО XCSSET для macOS, что стало его первой известной итерацией с 2022 года. Эта обновленная версия была замечена в ограниченных атаках, демонстрируя улучшенные методы обфускации, улучшенные механизмы сохранения и новые стратегии заражения. Эти усовершенствования основаны на существующих возможностях XCSSET, которые включают компрометацию цифровых кошельков, извлечение данных из приложения Notes и кражу конфиденциальной системной информации.
Оглавление
Постоянная угроза с 2020 года
XCSSET впервые появился в августе 2020 года как модульная угроза macOS, которая в основном распространялась путем заражения проектов Apple Xcode. Со временем вредоносное ПО развивалось, адаптируясь к новым версиям macOS и даже чипсетам Apple M1. К середине 2021 года исследователи кибербезопасности обнаружили, что XCSSET был модифицирован для перехвата данных из различных приложений, включая Google Chrome, Telegram, Evernote, Opera, Skype, WeChat и собственные приложения Apple, такие как Контакты и Заметки.
Использование уязвимостей для наблюдения
Одним из наиболее тревожных аспектов эволюции XCSSET является его способность использовать уязвимости для расширения своего охвата. В 2021 году исследователи обнаружили, что вредоносная программа использовала CVE-2021-30713, ошибку обхода фреймворка Transparency, Consent and Control (TCC). Эксплуатируя эту уязвимость, XCSSET мог делать снимки экрана рабочего стола жертвы без необходимости получения дополнительных разрешений, демонстрируя свою адаптивность в использовании лазеек безопасности.
Идти в ногу с обновлениями macOS
Даже после публичного раскрытия его возможностей XCSSET продолжал развиваться. Спустя год после обновления 2021 года вредоносная программа получила еще одну ревизию, чтобы обеспечить совместимость с macOS Monterey. Несмотря на продолжающиеся исследования и усилия по мониторингу, происхождение XCSSET остается загадкой, что делает его постоянной проблемой для пользователей macOS.
Запутывание и настойчивость: последние достижения
Последняя итерация XCSSET фокусируется на том, чтобы сделать обнаружение и удаление более сложными. Благодаря передовым методам обфускации и усиленным механизмам сохранения вредоносная программа разработана так, чтобы обходить анализ безопасности, гарантируя при этом свою активность. Один из ее новейших трюков включает автоматический запуск с каждым новым сеансом оболочки, что еще больше укрепляет ее позиции на зараженных системах.
Манипулирование панелью Dock macOS для скрытного выполнения
Среди новых методов, которые XCSSET использует для сохранения, — манипулирование Dock macOS. Вредоносная программа загружает подписанную версию утилиты dockutil с сервера Command-and-Control для управления элементами Dock. Затем она создает поддельное приложение Launchpad и заменяет легитимный путь Launchpad в Dock. В результате каждый раз, когда пользователь запускает Launchpad, выполняется легитимное приложение и угрожающая полезная нагрузка, что позволяет вредоносной программе действовать незамеченной.
Постоянная угроза без ясного источника
Повторное появление XCSSET подчеркивает адаптивность и устойчивость угроз macOS. С каждой новой версией он совершенствует свою тактику, чтобы опережать средства защиты, что делает постоянную бдительность необходимой. Хотя его происхождение остается неизвестным, ясно одно: XCSSET продолжает оставаться серьезным вызовом как для специалистов по кибербезопасности, так и для пользователей macOS.
