近期,微軟威脅情報(bào)中心在社交媒體平臺上發(fā)布了一條重要安全警報(bào),揭示了一種針對macOS系統(tǒng)的新型惡意軟件變種——XCSSET。據(jù)悉,這款惡意軟件變種最早于2022年被發(fā)現(xiàn),盡管其攻擊范圍相對有限,但其獨(dú)特的感染機(jī)制已對用戶數(shù)據(jù)安全構(gòu)成了嚴(yán)峻挑戰(zhàn)。
XCSSET變種的功能異常強(qiáng)大,它不僅能夠竊取用戶的數(shù)字錢包信息、Notes應(yīng)用數(shù)據(jù)、系統(tǒng)信息及文件,還通過一系列技術(shù)手段增強(qiáng)了其隱蔽性。具體而言,該惡意軟件采用了更為復(fù)雜的Payload混淆技術(shù)和模塊名稱混淆策略,使得安全軟件難以有效檢測。XCSSET還引入了更為隨機(jī)的payload生成方式,結(jié)合xxd(hexdump)和Base64編碼技術(shù),進(jìn)一步提升了其逃避安全檢測的能力。
為了在被感染系統(tǒng)中實(shí)現(xiàn)長期潛伏,XCSSET變種采取了多種策略。一方面,它通過修改用戶的shell會話文件(zshrc),實(shí)現(xiàn)了開機(jī)自啟動,從而確保惡意軟件能夠隨系統(tǒng)一同啟動。另一方面,XCSSET還利用dockutil工具偽造Launchpad應(yīng)用程序,誘導(dǎo)用戶點(diǎn)擊并啟動惡意代碼,以此實(shí)現(xiàn)更為隱蔽的持久化駐留。
尤為值得關(guān)注的是,XCSSET變種提供了多種將惡意代碼植入Xcode項(xiàng)目的方式。這些方式包括但不限于TARGET、RULE和FORCED_STRATEGY等,使得開發(fā)者在構(gòu)建設(shè)置中難以察覺其存在。更為狡猾的是,XCSSET還能隱藏在構(gòu)建設(shè)置的TARGET_DEVICE_FAMILY值下,進(jìn)一步增加了其被發(fā)現(xiàn)的難度。
此次微軟威脅情報(bào)中心發(fā)布的警報(bào),再次提醒了廣大macOS用戶和開發(fā)者,必須高度警惕此類新型惡意軟件變種所帶來的安全威脅。鑒于XCSSET變種能夠通過感染Xcode項(xiàng)目來竊取用戶數(shù)據(jù)和信息,用戶和開發(fā)者需加強(qiáng)安全意識,采取有效防護(hù)措施,以確保個人和企業(yè)的數(shù)據(jù)安全不受侵害。
