มัลแวร์ XCSSET เวอร์ชันต่างๆ

นักวิจัยได้ระบุรูปแบบใหม่ของมัลแวร์ XCSSET macOS ซึ่งถือเป็นรูปแบบแรกที่ทราบตั้งแต่ปี 2022 เวอร์ชันที่อัปเดตนี้พบในการโจมตีแบบจำกัด ซึ่งแสดงให้เห็นเทคนิคการบดบังที่ได้รับการปรับปรุง กลไกการคงอยู่ที่ได้รับการปรับปรุง และกลยุทธ์การติดเชื้อแบบใหม่ ความก้าวหน้าเหล่านี้สร้างขึ้นจากความสามารถที่มีอยู่ของ XCSSET ซึ่งรวมถึงการเจาะระบบกระเป๋าสตางค์ดิจิทัล การดึงข้อมูลจากแอป Notes และการขโมยข้อมูลระบบที่ละเอียดอ่อน

ภัยคุกคามที่คงอยู่มาตั้งแต่ปี 2020

XCSSET ปรากฏขึ้นครั้งแรกในเดือนสิงหาคม 2020 โดยเป็นภัยคุกคามโมดูลาร์ของ macOS ที่แพร่กระจายโดยการโจมตีโปรเจ็กต์ Xcode ของ Apple เป็นหลัก เมื่อเวลาผ่านไป มัลแวร์ได้พัฒนาและปรับตัวให้เข้ากับ macOS เวอร์ชันใหม่กว่าและแม้แต่ชิปเซ็ต M1 ของ Apple ภายในกลางปี 2021 นักวิจัยด้านความปลอดภัยทางไซเบอร์พบว่า XCSSET ได้รับการปรับเปลี่ยนเพื่อดูดข้อมูลจากแอปพลิเคชันต่างๆ รวมถึง Google Chrome, Telegram, Evernote, Opera, Skype, WeChat และแอปพลิเคชันดั้งเดิมของ Apple เช่น Contacts และ Notes

การใช้ประโยชน์จากช่องโหว่เพื่อการเฝ้าระวัง

ด้านที่น่ากังวลอย่างหนึ่งของวิวัฒนาการของ XCSSET คือความสามารถในการใช้ประโยชน์จากช่องโหว่เพื่อขยายขอบเขตการใช้งาน ในปี 2021 นักวิจัยค้นพบว่ามัลแวร์ใช้ประโยชน์จาก CVE-2021-30713 ซึ่งเป็นจุดบกพร่องในการหลีกเลี่ยงกรอบงาน Transparency, Consent and Control (TCC) ด้วยการใช้ประโยชน์จากจุดบกพร่องนี้ XCSSET จึงสามารถจับภาพหน้าจอเดสก์ท็อปของเหยื่อได้โดยไม่ต้องขออนุญาตเพิ่มเติม ซึ่งแสดงให้เห็นถึงความสามารถในการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัย

ติดตามการอัปเดต macOS

แม้ว่า XCSSET จะเปิดเผยความสามารถต่อสาธารณะแล้ว แต่ก็ยังคงพัฒนาต่อไป โดยกว่าหนึ่งปีหลังจากการอัปเดตในปี 2021 มัลแวร์ได้รับการปรับปรุงแก้ไขอีกครั้งเพื่อให้แน่ใจว่าเข้ากันได้กับ macOS Monterey แม้ว่าจะมีการวิจัยและเฝ้าติดตามอย่างต่อเนื่อง แต่ที่มาของ XCSSET ยังคงเป็นปริศนา ทำให้ผู้ใช้ macOS กังวลเรื่องนี้มาโดยตลอด

การบดบังและการคงอยู่: ความก้าวหน้าล่าสุด

XCSSET เวอร์ชันล่าสุดเน้นที่การทำให้การตรวจจับและการลบออกมีความท้าทายมากขึ้น ด้วยเทคนิคการบดบังขั้นสูงและกลไกการคงอยู่ที่ได้รับการเสริมความแข็งแกร่ง มัลแวร์นี้จึงได้รับการออกแบบมาเพื่อหลีกเลี่ยงการวิเคราะห์ความปลอดภัยในขณะที่ยังมั่นใจได้ว่าจะยังคงทำงานอยู่ หนึ่งในกลเม็ดใหม่ล่าสุดของมัลแวร์นี้ก็คือการเปิดใช้งานโดยอัตโนมัติทุกครั้งที่มีเซสชันเชลล์ใหม่ ซึ่งยิ่งทำให้มัลแวร์นี้ยึดครองตำแหน่งบนระบบที่ติดเชื้อได้ดียิ่งขึ้น

การจัดการ macOS Dock เพื่อการดำเนินการอย่างลับๆ

วิธีการใหม่ ๆ ที่ XCSSET ใช้เพื่อคงอยู่คือการจัดการ Dock ของ macOS มัลแวร์จะดาวน์โหลดยูทิลิตี้ dockutil เวอร์ชันที่ลงนามแล้วจากเซิร์ฟเวอร์ Command-and-Control เพื่อจัดการรายการ Dock จากนั้นจึงสร้างแอปพลิเคชัน Launchpad ปลอมและแทนที่เส้นทางของ Launchpad ที่ถูกต้องใน Dock เป็นผลให้ทุกครั้งที่ผู้ใช้เปิด Launchpad แอปพลิเคชันที่ถูกต้องและเพย์โหลดที่เป็นอันตรายจะถูกดำเนินการ ทำให้มัลแวร์ทำงานโดยไม่ถูกตรวจพบ

ภัยคุกคามต่อเนื่องที่ไม่มีที่มาที่ชัดเจน

การกลับมาของ XCSSET เน้นย้ำถึงความสามารถในการปรับตัวและความยืดหยุ่นของภัยคุกคามบน macOS ในแต่ละเวอร์ชันใหม่ XCSSET จะปรับปรุงกลยุทธ์เพื่อให้ก้าวล้ำหน้าการป้องกันความปลอดภัย ทำให้การเฝ้าระวังอย่างต่อเนื่องมีความจำเป็น แม้ว่าต้นกำเนิดของ XCSSET จะยังไม่ชัดเจน แต่มีสิ่งหนึ่งที่ชัดเจน นั่นคือ XCSSET ยังคงเป็นความท้าทายที่น่ากลัวสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และผู้ใช้ macOS