微软发现针对macOS系统的XCSSET恶意软件新变种 似乎为了窃取加密货币钱包
山外的鸭子哥
据微软威胁情报团队发布的消息,此前已经处于休眠状态不再活跃的 macOS 软件以新变种的形式再次活跃起来,该变种版本主要针对的就是苹果的各种设备。
这个新变种起源于 2022 年被发现的 XCSSET 恶意软件,变种版本增强了混淆能力以躲避查杀,同时还更新持久性机制并采用新的感染策略。
威胁方面这个恶意软件的主要目标是窃取信息,包括但不限于窃取用户的加密货币钱包信息、从用户的 Apple Notes 备忘录里窃取私密信息、收集系统信息和文件等。
感染策略上 XCSSET 使用苹果的开发者工具 Xcode IDE 中的受感染的项目来渗透设备,Xcode 是苹果为 macOS、iOS、iPadOS、watchOS 和 tvOS 开发应用程序的集成开发平添。
更新后的 XCSSET 包含进程可以将本体更好地在 Xcode 中隐藏自身,其使用的技术包括 zshrc 和 dock,在感染初始阶段 XCSSET 会创建~/.zshrc_aliases 用来存放受感染的数据,之后会在~/.zshrc 文件中添加命令,该命令在每次启动新的 shell 会话时提示受感染的文件启动。
这样的做法可以让 XCSSET 能够通过额外的 shell 会话传播,也就是感染的不只是一台设备,通过 shell 继续感染其他设备以便收集更多信息。
微软还补充说在 XCSSET 会从 C2 服务器下载签名为 dockutil 的工具用来管理 dock 项目,接着创建假的 Launchpad 应用替换设备 dock 上真实的 Launchpad 路径条目。
因此在用户每次点击 Launchpad 时实际都会启动 XCSSET,这种做法的目的也算是增强持久性的一种方式,确保 XCSSET 能够尽可能保持启动状态进行感染。
目前微软只在有限的攻击中看到这个新的变种版本,微软威胁情报团队将继续关注 XCSSET 并分享更多信息,让用户和企业可以部署预防措施。
