XCSSET 惡意軟體變種

研究人員發現了 XCSSET macOS 惡意軟體的新變種，這是自 2022 年以來首次已知的迭代。這些進步建立在 XCSSET 現有的功能之上，包括入侵數位錢包、從 Notes 應用程式中提取資料以及竊取敏感系統資訊。

自 2020 年以來持續存在的威脅

XCSSET 於 2020 年 8 月首次曝光，是一種模組化 macOS 威脅，主要透過感染 Apple Xcode 專案來傳播。隨著時間的推移，該惡意軟體不斷進化，適應較新的 macOS 版本甚至 Apple 的 M1 晶片組。到 2021 年年中，網路安全研究人員發現 XCSSET 已被修改，可以竊取各種應用程式中的數據，包括 Google Chrome、Telegram、Evernote、Opera、Skype、微信以及 Apple 的原生應用程序，如通訊錄和 Notes。

利用漏洞進行監視

XCSSET 演進過程中最令人擔憂的方面之一是它能夠利用漏洞來擴大其影響範圍。 2021 年，研究人員發現該惡意軟體利用了透明度、同意和控制 (TCC) 框架繞過漏洞 CVE-2021-30713。透過利用此缺陷， XCSSET無需額外權限即可截取受害者桌面的螢幕截圖，展示了其利用安全漏洞的適應性。

與 macOS 更新保持同步

即使在其能力被公開之後，XCSSET 仍在繼續發展。在 2021 年更新一年多後，該惡意軟體又進行了一次修訂，以確保與 macOS Monterey 的兼容性。儘管正在進行研究和監控，XCSSET 的起源仍然是個謎，這讓它一直困擾著 macOS 用戶。

混淆與持久性：最新進展

XCSSET 的最新版本致力於使檢測和刪除更具挑戰性。利用先進的混淆技術和增強的持久性機制，該惡意軟體旨在逃避安全分析，同時確保其保持活躍。其最新的技巧之一是每次有新的 shell 會話時自動啟動，進一步鞏固其在受感染系統上的立足點。

操縱 macOS Dock 實作隱密執行

XCSSET 為了保持持久性而採用的新方法之一是操縱 macOS Dock。該惡意軟體從命令和控制伺服器下載簽署版本的 dockutil 實用程式來管理 Dock 專案。然後，它會建立一個偽造的 Launchpad 應用程式並替換 Dock 中合法 Launchpad 的路徑。因此，每次使用者啟動 Launchpad 時，合法應用程式和威脅負載都會被執行，使惡意軟體無法被發現。

持續存在的、來源不明的威脅

XCSSET 的再次出現凸顯了 macOS 威脅的適應性和彈性。隨著每個新版本的發布，它都會改進其策略以保持領先於安全防禦，因此持續的警惕至關重要。雖然它的起源仍然未知，但有一點是清楚的：XCSSET 對網路安全專業人員和 macOS 用戶來說仍然是一個巨大的挑戰。