Варіант шкідливого ПЗ XCSSET
Дослідники виявили новий варіант зловмисного програмного забезпечення XCSSET для macOS, що стало його першою відомою ітерацією з 2022 року. Цю оновлену версію спостерігали в обмежених атаках, демонструючи розширені методи обфускації, покращені механізми стійкості та нові стратегії зараження. Ці вдосконалення базуються на наявних можливостях XCSSET, які включають компрометацію цифрових гаманців, вилучення даних із програми Notes і вилучення конфіденційної системної інформації.
Зміст
Постійна загроза з 2020 року
XCSSET вперше з’явився в серпні 2020 року як модульна загроза macOS, яка в основному поширювалася через зараження проектів Apple Xcode. Згодом зловмисне програмне забезпечення розвивалося, адаптуючись до нових версій macOS і навіть чіпсетів M1 від Apple. До середини 2021 року дослідники з кібербезпеки виявили, що XCSSET було модифіковано для перекачування даних із різних додатків, зокрема Google Chrome, Telegram, Evernote, Opera, Skype, WeChat і рідних додатків Apple, таких як Контакти та Нотатки.
Використання вразливостей для стеження
Одним із найбільш тривожних аспектів еволюції XCSSET є його здатність використовувати вразливості для розширення свого охоплення. У 2021 році дослідники виявили, що зловмисне програмне забезпечення використовує CVE-2021-30713, помилку обходу фреймворку прозорості, згоди та контролю (TCC). Використовуючи цю помилку, XCSSET міг робити знімки екрана робочого столу жертви, не потребуючи додаткових дозволів, демонструючи свою адаптивність у використанні лазівок безпеки.
В ногу з оновленнями macOS
Навіть після оприлюднення своїх можливостей XCSSET продовжував розвиватися. Понад рік після оновлення 2021 року зловмисне програмне забезпечення отримало ще одну редакцію, щоб забезпечити сумісність із macOS Monterey. Незважаючи на триваючі дослідження та зусилля з моніторингу, походження XCSSET залишається загадкою, що викликає постійне занепокоєння користувачів macOS.
Обфускація та наполегливість: останні досягнення
Остання версія XCSSET спрямована на те, щоб зробити виявлення та видалення більш складним. Завдяки вдосконаленим методам обфускації та посиленим механізмам стійкості зловмисне програмне забезпечення розроблено таким чином, щоб уникати аналізу безпеки, забезпечуючи при цьому, що воно залишається активним. Один із його найновіших прийомів включає автоматичний запуск із кожним новим сеансом оболонки, що ще більше зміцнює його позицію на заражених системах.
Маніпулювання macOS Dock для прихованого виконання
Серед нових методів, які XCSSET використовує для стійкості, є маніпулювання док-станцією macOS. Зловмисне програмне забезпечення завантажує підписану версію утиліти dockutil із сервера командування та керування для керування елементами Dock. Потім він створює підроблену програму Launchpad і замінює легітимний шлях Launchpad у Dock. У результаті кожного разу, коли користувач запускає Launchpad, виконується законна програма та загрозливе корисне навантаження, що дозволяє шкідливому програмному забезпеченню працювати непоміченим.
Постійна загроза без чіткого походження
Повторна поява XCSSET підкреслює адаптивність і стійкість до загроз macOS. З кожною новою версією він удосконалює свою тактику, щоб випереджати засоби захисту, що робить постійну пильність важливою. Хоча його походження залишається невідомим, ясно одне: XCSSET продовжує залишатися серйозним викликом як для професіоналів з кібербезпеки, так і для користувачів macOS.
