微软检测到XCSSET恶意软件新变种

微软近日宣布检测到XCSSET恶意软件家族的新变种，该恶意软件自2020年以来一直针对macOS开发者及用户。这是自2022年以来首次公开的更新。

XCSSET恶意软件背景

• 首次发现：2020年，安全公司Trend Micro发现XCSSET通过攻击者编写的Xcode项目传播，目标为应用开发者。
• 显著特点：该恶意软件利用了当时两个零日漏洞，展示了攻击者的资源丰富性。
• 再次出现：2021年，XCSSET再次出现，首次用于对开发者设备进行后门攻击，随后又利用新的零日漏洞进行攻击。

新变种的增强功能

微软表示，新变种目前仅在有限攻击中被检测到，其改进包括：

• 持久性方法：

  • 创建名为~/.zshrc_aliases的文件，包含恶意负载，并在~/.zshrc文件中追加命令，确保每次启动新shell会话时加载该文件。
  • 创建虚假的Launchpad应用，并替换合法Launchpad路径，确保每次从macOS Dock启动Launchpad时启动恶意负载。

• 感染方法增强：

  • 攻击者可以选择TARGET、RULE或FORCED_STRATEGY等选项，决定XCSSET何时触发其负载。
  • 将负载放置在TARGET_DEVICE_FAMILY键下，并在后期阶段运行。

• 混淆方法增强：

  • 采用更随机化的方法生成感染Xcode项目的负载，增加检测难度。
  • 对创建的模块名称进行Base64编码，进一步增加检测难度。

其他已知功能

XCSSET还包含多个模块，用于从受感染设备收集和窃取敏感数据，如数字钱包、Notes应用中的数据，以及系统信息和文件。

检测与防护

• 微软防护：Microsoft Defender for Endpoint on Mac已能检测到新变种，其他恶意软件检测引擎可能很快也会跟进。
• 未来更新：微软表示将在未来的博客文章中发布文件哈希值或其他攻击指标，帮助用户判断是否被攻击。

建议

为避免成为新变种的受害者，微软建议开发者检查所有从仓库下载或克隆的Xcode项目。XCSSET通过开发者信任的恶意项目传播，开发者需谨慎对待共享项目。