Специалисты Microsoft Threat Intelligence выявили обновленную версию опасного вредоносного ПО XCSSET, нацеленного на пользователей macOS. Это первое крупное обновление малвари с 2022 года, которое отличается усовершенствованными механизмами маскировки и новыми техниками заражения. Основной целью атак остаются разработчики, использующие среду Xcode.
Усовершенствованные механизмы заражения и персистентности
Новая версия XCSSET демонстрирует значительные улучшения в методах установки и закрепления в системе. При использовании метода zshrc вредонос создает специальный файл ~/.zshrc_aliases с вредоносной нагрузкой и модифицирует ~/.zshrc для автоматического запуска при открытии нового сеанса командной оболочки.
Продвинутые техники компрометации системы
Особое внимание специалисты уделяют новому методу атаки через dock-панель macOS. Малварь загружает легитимно подписанный инструмент dockutil с командного сервера злоумышленников, после чего создает поддельное приложение Launchpad. Вредонос модифицирует системные пути таким образом, что при запуске Launchpad активируется как оригинальное, так и вредоносное приложение.
Функциональность и цели атак
XCSSET сохраняет модульную архитектуру и широкий спектр возможностей по сбору конфиденциальных данных. Вредоносное ПО способно извлекать:
— Учетные данные пользователей
— Информацию из мессенджеров и браузеров
— Записи из приложения Notes
— Данные криптовалютных кошельков
— Системную информацию
— Пользовательские файлы
В связи с растущей угрозой специалисты Microsoft настоятельно рекомендуют разработчикам проявлять повышенную бдительность при работе с проектами Xcode, особенно загруженными из неофициальных источников. Важно тщательно проверять код на наличие обфусцированных вредоносных компонентов и бэкдоров. Использование только проверенных репозиториев и регулярное обновление средств защиты поможет минимизировать риски заражения этой опасной малварью.
