Biến thể phần mềm độc hại XCSSET

Các nhà nghiên cứu đã xác định được một biến thể mới của phần mềm độc hại XCSSET macOS, đánh dấu lần lặp lại đầu tiên được biết đến kể từ năm 2022. Phiên bản cập nhật này đã được quan sát thấy trong các cuộc tấn công hạn chế, thể hiện các kỹ thuật che giấu nâng cao, cơ chế duy trì được cải thiện và các chiến lược lây nhiễm mới. Những tiến bộ này dựa trên các khả năng hiện có của XCSSET, bao gồm xâm phạm ví kỹ thuật số, trích xuất dữ liệu từ ứng dụng Notes và đánh cắp thông tin hệ thống nhạy cảm.

Mối đe dọa dai dẳng từ năm 2020

XCSSET lần đầu tiên được phát hiện vào tháng 8 năm 2020 như một mối đe dọa macOS dạng mô-đun chủ yếu lây lan bằng cách lây nhiễm các dự án Apple Xcode. Theo thời gian, phần mềm độc hại đã phát triển, thích ứng với các phiên bản macOS mới hơn và thậm chí cả chipset M1 của Apple. Đến giữa năm 2021, các nhà nghiên cứu an ninh mạng phát hiện ra rằng XCSSET đã được sửa đổi để lấy dữ liệu từ nhiều ứng dụng khác nhau, bao gồm Google Chrome, Telegram, Evernote, Opera, Skype, WeChat và các ứng dụng gốc của Apple như Contacts và Notes.

Khai thác lỗ hổng để giám sát

Một trong những khía cạnh đáng lo ngại hơn về quá trình phát triển của XCSSET là khả năng khai thác các lỗ hổng để mở rộng phạm vi tiếp cận của nó. Vào năm 2021, các nhà nghiên cứu phát hiện ra rằng phần mềm độc hại này đã khai thác CVE-2021-30713, một lỗi bỏ qua khuôn khổ Transparency, Consent and Control (TCC). Bằng cách khai thác lỗ hổng này, XCSSET có thể chụp ảnh màn hình máy tính để bàn của nạn nhân mà không cần thêm quyền, chứng minh khả năng thích ứng của nó trong việc tận dụng các lỗ hổng bảo mật.

Theo kịp các bản cập nhật macOS

Ngay cả sau khi công khai khả năng của nó, XCSSET vẫn tiếp tục phát triển. Hơn một năm sau bản cập nhật năm 2021, phần mềm độc hại đã nhận được một bản sửa đổi khác để đảm bảo khả năng tương thích với macOS Monterey. Bất chấp những nỗ lực nghiên cứu và giám sát đang diễn ra, nguồn gốc của XCSSET vẫn là một bí ẩn, khiến nó trở thành mối lo ngại dai dẳng đối với người dùng macOS.

Sự che giấu và sự kiên trì: Những tiến bộ mới nhất

Phiên bản mới nhất của XCSSET tập trung vào việc khiến việc phát hiện và loại bỏ trở nên khó khăn hơn. Với các kỹ thuật che giấu tiên tiến và cơ chế duy trì được tăng cường, phần mềm độc hại được thiết kế để tránh phân tích bảo mật trong khi vẫn đảm bảo rằng nó vẫn hoạt động. Một trong những thủ thuật mới nhất của nó bao gồm tự động khởi chạy với mỗi phiên shell mới, củng cố thêm chỗ đứng của nó trên các hệ thống bị nhiễm.

Thao tác Dock macOS để thực thi ẩn

Trong số các phương pháp mới mà XCSSET sử dụng để duy trì là thao túng macOS Dock. Phần mềm độc hại tải xuống phiên bản đã ký của tiện ích dockutil từ máy chủ Command-and-Control để quản lý các mục Dock. Sau đó, nó tạo ra một ứng dụng Launchpad giả mạo và thay thế đường dẫn của Launchpad hợp lệ trong Dock. Kết quả là, mỗi lần người dùng khởi chạy Launchpad, ứng dụng hợp lệ và tải trọng đe dọa sẽ được thực thi, cho phép phần mềm độc hại hoạt động mà không bị phát hiện.

Một mối đe dọa liên tục không có nguồn gốc rõ ràng

Sự tái xuất hiện của XCSSET nhấn mạnh khả năng thích ứng và phục hồi của các mối đe dọa macOS. Với mỗi phiên bản mới, nó tinh chỉnh các chiến thuật của mình để đi trước các biện pháp phòng thủ bảo mật, khiến việc cảnh giác liên tục trở nên cần thiết. Mặc dù nguồn gốc của nó vẫn chưa được biết, nhưng có một điều rõ ràng: XCSSET tiếp tục là một thách thức đáng gờm đối với các chuyên gia an ninh mạng và người dùng macOS.