近日,微軟威脅情報中心在社交媒體平臺上發布了一則重要安全警報,揭示了一種針對macOS系統的新型惡意軟件變種——XCSSET。據悉,這款惡意軟件最初于2022年被發現,而此次曝光的新變種,盡管尚未造成大規模攻擊,但其采用的感染Xcode項目的手段,已經對用戶安全構成了嚴峻挑戰。
據微軟威脅情報中心的詳細描述,新版XCSSET惡意軟件不僅繼承了前代竊取數字錢包、Notes應用數據、系統信息及文件的“技能”,更在隱蔽性上實現了質的飛躍。通過升級Payload混淆技術和模塊名稱混淆策略,新變種成功躲避了眾多安全軟件的檢測,進一步提升了其潛藏的威脅。
在技術手段上,新變種XCSSET采用了更為隨機的payload生成機制,結合xxd(hexdump)和Base64編碼技術,使得惡意代碼在傳輸和存儲過程中更加難以被識別。同時,在代碼層面,新變種對模塊名稱進行了深度混淆,大大增加了逆向分析的難度,為安全研究人員帶來了不小的挑戰。
為了確保惡意軟件能夠在受感染系統中長期潛伏,新變種XCSSET還采取了“zshrc”潛伏和“dock”偽裝兩大策略。通過修改shell會話文件,實現開機自啟動;同時,利用dockutil工具偽造Launchpad應用,誘騙用戶點擊,從而啟動惡意代碼。這些手段無疑大大增強了XCSSET的持久化駐留能力。
XCSSET新變種還提供了多種將惡意代碼植入Xcode項目的方式。無論是TARGET、RULE還是FORCED_STRATEGY等選項,新變種都能輕松應對,甚至還能藏匿于構建設置的TARGET_DEVICE_FAMILY值下,進一步增加了其隱蔽性和攻擊范圍。
面對這一新型惡意軟件變種的威脅,微軟威脅情報中心提醒廣大macOS用戶,務必保持警惕,加強安全防護措施。同時,也建議開發者在開發Xcode項目時,加強對代碼的安全審查,以避免成為XCSSET的攻擊目標。
