XCSSET 恶意软件变种

研究人员发现了 XCSSET macOS 恶意软件的新变种，这是自 2022 年以来该恶意软件的首次已知迭代。此更新版本已在有限的攻击中观察到，展示了增强的混淆技术、改进的持久性机制和新的感染策略。这些改进建立在 XCSSET 现有功能的基础上，包括入侵数字钱包、从 Notes 应用程序中提取数据以及窃取敏感系统信息。

自 2020 年以来持续存在的威胁

XCSSET 于 2020 年 8 月首次曝光，是一种模块化 macOS 威胁，主要通过感染 Apple Xcode 项目进行传播。随着时间的推移，该恶意软件不断演变，适应较新的 macOS 版本，甚至 Apple 的 M1 芯片组。到 2021 年中，网络安全研究人员发现 XCSSET 已被修改为从各种应用程序中窃取数据，包括 Google Chrome、Telegram、Evernote、Opera、Skype、微信和 Apple 的原生应用程序（如联系人和便笺）。

利用漏洞进行监视

XCSSET 进化过程中最令人担忧的方面之一是它能够利用漏洞来扩大其影响范围。2021 年，研究人员发现该恶意软件利用了 CVE-2021-30713，这是一个透明、同意和控制 (TCC) 框架绕过漏洞。通过利用此漏洞， XCSSET可以在不需要额外权限的情况下捕获受害者桌面的屏幕截图，这表明它在利用安全漏洞方面的适应性很强。

与 macOS 更新保持同步

即使在其功能公开曝光后，XCSSET 仍在继续发展。在 2021 年更新一年多后，该恶意软件又进行了一次修订，以确保与 macOS Monterey 兼容。尽管正在进行研究和监控工作，但 XCSSET 的起源仍然是个谜，这让它成为 macOS 用户持续担心的问题。

混淆与持久性：最新进展

XCSSET 的最新版本致力于使检测和清除更具挑战性。借助先进的混淆技术和增强的持久性机制，该恶意软件旨在逃避安全分析，同时确保其保持活跃状态。其最新技巧之一是每次新的 shell 会话时自动启动，进一步巩固其在受感染系统上的立足点。

操纵 macOS Dock 实现隐秘执行

XCSSET 用于持久化的新方法之一是操纵 macOS Dock。该恶意软件从命令和控制服务器下载一个签名版本的 dockutil 实用程序来管理 Dock 项目。然后它会创建一个伪造的 Launchpad 应用程序并替换 Dock 中合法的 Launchpad 路径。因此，每次用户启动 Launchpad 时，都会执行合法应用程序和威胁性负载，从而使恶意软件能够不被发现地运行。

持续存在的、来源不明的威胁

XCSSET 的再次出现凸显了 macOS 威胁的适应性和弹性。随着每个新版本的发布，它都会改进其策略以保持领先于安全防御，因此持续的警惕至关重要。虽然它的起源仍然未知，但有一点是清楚的：XCSSET 对网络安全专业人员和 macOS 用户来说仍然是一个巨大的挑战。