Исследователи Microsoft Threat Intelligence сообщили о свежем варианте модульной малвари XCSSET, нацеленной на macOS. Обновление принесло два критичных нововведения: перехват содержимого системного буфера обмена для подмены криптовалютных адресов и новые механизмы закрепления в системе. Параллельно злоумышленники расширили спектр эксфильтрации данных, добавив инструменты для извлечения информации из браузера Firefox.
Что такое XCSSET и как он распространяется среди разработчиков
XCSSET — это многофункциональный набор инструментов для кражи данных и денежных средств. Особенность семейства — заражение Xcode-проектов, что обеспечивает запуск вредоносных скриптов в момент сборки приложения. Такой вектор эффективен в экосистеме Apple/macOS, где проектные файлы и шаблоны нередко передаются между разработчиками. Ранее XCSSET уже фигурировал в публичных отчётах как угроза, использовавшая 0‑day уязвимости, в том числе для компрометации браузеров и кражи сессионных данных.
Новые возможности: кража криптовалют и данных из Firefox
Перехват буфера обмена и подмена криптоадресов
Ключевое новшество — компонент мониторинга буфера обмена macOS. Вредонос отслеживает копируемые пользователем строки и сопоставляет их с паттернами регулярных выражений, характерными для адресов криптовалютных сетей. При совпадении адрес подменяется на заранее определённый адрес злоумышленников. В результате перевод, который жертва намеревалась отправить на свой кошелёк, уходит на сторонний счёт без видимых предупреждений со стороны ОС или кошелька.
На практике это особенно опасно при частом копировании/вставке адресов и использовании нескольких сетей. Даже кратковременная невнимательность пользователя приводит к безотзывной потере средств: транзакции в публичных блокчейнах необратимы.
Кража данных из Firefox через модифицированный HackBrowserData
Обновлённый XCSSET развёртывает модифицированную сборку опенсорсного инструмента HackBrowserData, предназначенного для расшифровки и экспорта хранимых браузерами секретов. Это позволяет атакующим извлекать сохранённые логины, куки и историю из Firefox, расширяя охват уже известных целей — заметок, криптокошельков и других браузеров.
Персистентность и маскировка в macOS
Для закрепления в системе XCSSET применяет новые техники, среди которых создание записей LaunchDaemon, исполняющих пейлоад из пути вида ~/.root. Дополнительно используется поддельное приложение System Settings.app в каталоге /tmp, что усложняет ручное обнаружение и вводит в заблуждение анализаторов, ориентирующихся на знакомые имена системных утилит.
Сочетание LaunchDaemon и маскировки под системные компоненты повышает живучесть малвари после перезагрузки и помогает обходить базовые меры контроля, полагающиеся на доверие к именованию и местоположению файлов.
Масштаб кампании и реакция вендоров
По данным Microsoft, наблюдаемое распространение нового варианта XCSSET пока ограничено, однако активности уже зафиксированы в целевых атаках. Исследователи передали артефакты Apple и взаимодействуют с GitHub для удаления связанных репозиториев, снижая доступность инфраструктуры и инструментов для злоумышленников.
Рекомендации: как снизить риски для macOS и Xcode-процессов
Обновляйте систему и софт. Держите macOS и приложения актуальными, включая Xcode, браузеры и средства безопасности. Это критично с учётом истории XCSSET по эксплуатации 0‑day уязвимостей.
Проверяйте Xcode-проекты перед сборкой. Аудируйте Build Phases на предмет неожиданных Run Script, сторонних зависимостей и изменённых шаблонов. Используйте контроль целостности репозиториев и проводите ревью перед принятием pull‑request’ов.
Усилите контроль автозапуска. Периодически инспектируйте /Library/LaunchDaemons и ~/Library/LaunchAgents на предмет записей, указывающих на нетипичные пути (вроде ~/.root) или исполняемые файлы во временных каталогах (/tmp).
Защитите криптооперации. Сверяйте первые/последние символы адресов перед подтверждением перевода, используйте адресные книги или QR‑коды от проверенных источников, включайте белые списки получателей, если это поддерживает кошелёк.
Ограничьте запуск ПО из непроверенных источников. Включите Gatekeeper, используйте только подписанные и нотариализованные приложения, применяйте встроенные средства Apple (XProtect/XProtect Remediator) и EDR-решения корпоративного класса.
Развитие XCSSET подтверждает устойчивый тренд: атакующие все активнее используют цепочки поставок и разработческие процессы как точку входа. Своевременные обновления, дисциплина в управлении Xcode-проектами и элементарная «гигиена» при переводе криптовалют — простые шаги, которые существенно снижают риск компрометации. Разработчикам и пользователям macOS стоит усилить контроль автозапуска и внимательнее относиться к любым аномалиям в сборочном процессе и поведении системы.
