Дослідники Microsoft Threat Intelligence повідомили про новий варіант модульної малвері XCSSET, що націлена на користувачів macOS. Оновлення додає два ключові вектори: перехоплення вмісту буфера обміну з подальшою підміною криптовалютних адрес та розширені механізми персистентності. Паралельно зловмисники підвищили можливості ексфільтрації, зокрема щодо даних з Firefox.
Що таке XCSSET і чому ризикують розробники Xcode
XCSSET — багатофункціональний набір інструментів, орієнтований на крадіжку даних і фінансових активів. Його характерна риса — інфікування Xcode‑проєктів: шкідливі скрипти запускаються під час збірки застосунку, що робить ланцюг постачання коду ефективним вектором ураження. Раніше XCSSET вже фігурував у публічних звітах як загроза, що експлуатувала 0‑day уразливості, у тому числі для компрометації браузерів та викрадення сесій.
Нові можливості XCSSET: від криптогаманців до Firefox
Перехоплення буфера обміну та підміна криптоадрес
Оновлений модуль відстежує копійовані користувачем рядки та звіряє їх із регулярними виразами, характерними для адрес популярних блокчейн‑мереж. Якщо формат збігається, адреса автоматично підмінюється на заздалегідь визначений гаманця зловмисників. Через незворотність транзакцій у публічних блокчейнах навіть коротка неуважність призводить до безповоротної втрати коштів. Такий підхід корелює з технікою MITRE ATT&CK T1115 (Clipboard Data).
Ексфільтрація з Firefox через модифікований HackBrowserData
Для збору чутливих даних XCSSET розгортає модифіковану збірку опенсорсного інструмента HackBrowserData. Це дає змогу розшифровувати й експортувати з Firefox збережені логіни, куки та історію, доповнюючи вже відомі цілі: нотатки, криптогаманці та інші браузери. Така комбінація суттєво розширює площину атаки й підвищує шанси на компрометацію облікових записів.
Персистентність і маскування в macOS
Для закріплення XCSSET створює записи LaunchDaemon, що виконують пейлоад із шляху на кшталт ~/.root. Додатково застосовується підроблене застосунком System Settings.app у каталозі /tmp, щоб ускладнити ручне виявлення та ввести в оману адміністратора, який орієнтується на звичні назви системних компонентів. Ці прийоми відповідають MITRE ATT&CK T1543.001 (Launch Daemon) і T1036 (Masquerading).
Масштаб активності та реакція вендорів
За спостереженнями Microsoft, нинішнє розповсюдження нового варіанта обмежене, однак активність уже помічено в цільових атаках. Дослідники передали артефакти Apple та взаємодіють із GitHub для видалення пов’язаних репозиторіїв, аби знизити доступність інструментів і інфраструктури нападників.
Практичні рекомендації для macOS та Xcode‑процесів
Оновлюйте ОС і додатки. Тримайте актуальними macOS, Xcode, браузери та засоби безпеки. Це критично з огляду на історію XCSSET із використанням 0‑day.
Аудитуйте Xcode‑проєкти. Перевіряйте Build Phases на неочікувані Run Script, сторонні залежності та змінені шаблони. Застосовуйте контроль цілісності репозиторіїв і код‑рев’ю перед прийняттям pull‑request.
Контролюйте автозапуск. Регулярно інспектуйте /Library/LaunchDaemons і ~/Library/LaunchAgents на предмет записів із нетиповими шляхами (як‑от ~/.root) чи виконуваних файлів у тимчасових директоріях (/tmp).
Захищайте криптооперації. Звіряйте перші й останні символи адрес перед підтвердженням переказу, використовуйте адресні книги та QR‑коди з перевірених джерел, вмикайте білі списки одержувачів у гаманці, якщо це підтримується.
Обмежте запуск ПЗ з неперевірених джерел. Увімкніть Gatekeeper, використовуйте підписані й нотаризовані застосунки, активуйте вбудовані механізми Apple (XProtect/XProtect Remediator) та корпоративні EDR‑рішення.
Розвиток XCSSET ще раз підкреслює тренд на атаки через ланцюги постачання та розробницькі процеси. Поєднання дисципліни в управлінні Xcode‑проєктами, уважності до аномалій у збірці й базових практик безпеки під час криптооперацій суттєво знижує ризик компрометації. Варто проактивно перевіряти автозапуск, проводити ревізії CI/CD і навчати команду індикаціям підміни буфера обміну — це прості кроки, які допоможуть зберегти облікові дані та кошти.
