近日,一種新型 XCSSET macOS 模塊化惡意軟件變體在攻擊活動(dòng)中現(xiàn)身,其目標(biāo)是竊取用戶的敏感信息,涵蓋數(shù)字錢包數(shù)據(jù)以及合法 Notes 應(yīng)用程序中的數(shù)據(jù)。
這種惡意軟件通常借助受感染的 Xcode 項(xiàng)目進(jìn)行傳播,至少已存在五年之久,每次更新都堪稱 XCSSET發(fā)展歷程中的一個(gè)里程碑。此次的改進(jìn)是自2022年以來首次被發(fā)現(xiàn)。
微軟威脅情報(bào)團(tuán)隊(duì)在有限的攻擊活動(dòng)中識別出了這一最新變體,并指出與過往的 XCSSET 變體相比,新變體具備更強(qiáng)的代碼混淆能力、更好的持久化能力以及全新的感染策略。
關(guān)鍵特性剖析
1.隱匿性強(qiáng)化
新變體采用動(dòng)態(tài)迭代的Base64 + xxd雙重編碼技術(shù),這種技術(shù)能夠?qū)崿F(xiàn)多層級的代碼混淆。通過不斷變化的編碼迭代次數(shù),使得安全工具難以對其進(jìn)行有效的解析和追蹤。
同時(shí),對關(guān)鍵模塊名稱進(jìn)行加密處理,即使逆向分析專家試圖拆解其代碼結(jié)構(gòu),也會(huì)因?yàn)檫@些加密的模塊名稱而倍感棘手,顯著增加了逆向分析的難度,讓惡意代碼在系統(tǒng)中能夠更長久地潛伏。
2.持久化創(chuàng)新
在實(shí)現(xiàn)持久化駐留系統(tǒng)方面,新變體采用了兩種創(chuàng)新方案。
- zshrc 方案:新變體創(chuàng)建名為~/.zshrc_aliases 的文件,并將惡意負(fù)載巧妙植入其中。然后通過修改.zshrc 配置文件,實(shí)現(xiàn)了會(huì)話級自啟動(dòng)。這意味著只要用戶開啟新的 shell 會(huì)話,惡意文件就會(huì)自動(dòng)運(yùn)行,長期潛伏在系統(tǒng)中,持續(xù)收集信息或執(zhí)行其他惡意指令。
- Dock 劫持方案:從攻擊者的命令與控制(C2)服務(wù)器下載經(jīng)過簽名的 dockutil 工具,利用其合法身份繞過部分系統(tǒng)檢測。通過偽造 Launchpad 應(yīng)用路徑,精心設(shè)計(jì)了 “雙觸發(fā)” 機(jī)制,當(dāng)用戶啟動(dòng)正版應(yīng)用時(shí),惡意負(fù)載也會(huì)同時(shí)被執(zhí)行,實(shí)現(xiàn)了神不知鬼不覺的惡意操作。
3. Xcode感染策略進(jìn)化
在針對 Xcode 項(xiàng)目的感染策略上,新變體也有了重大進(jìn)化。
濫用構(gòu)建參數(shù):利用 TARGET、RULE、FORCED_STRATEGY 等構(gòu)建參數(shù),將惡意代碼注入到 Xcode 項(xiàng)目中。這些參數(shù)在正常的開發(fā)過程中有著重要作用,但被惡意軟件利用后,就成為了惡意代碼進(jìn)入項(xiàng)目的 “綠色通道”。
設(shè)備定向滲透:通過篡改 TARGET_DEVICE_FAMILY 構(gòu)建設(shè)置,實(shí)現(xiàn)對特定設(shè)備的精準(zhǔn)部署。這使得攻擊者可以有針對性地對某些設(shè)備類型進(jìn)行攻擊,提高攻擊效率和成功率。
XCSSET 并非首次展現(xiàn)其強(qiáng)大的攻擊能力,早在 2021 年 5 月,它就利用零日漏洞(漏洞編號 CVE - 2021 - 30713,蘋果已修復(fù))發(fā)起攻擊。此次新變體的升級,再次印證其開發(fā)者具備持續(xù)突破系統(tǒng)防御的能力,不斷給網(wǎng)絡(luò)安全帶來新的挑戰(zhàn)。
Xcode項(xiàng)目與XCSSET攻擊范圍
Xcode 是蘋果的開發(fā)者工具集,其中包含集成開發(fā)環(huán)境(IDE),開發(fā)者能借助它創(chuàng)建、測試和發(fā)布適用于所有蘋果平臺的應(yīng)用程序。Xcode 項(xiàng)目的創(chuàng)建方式靈活多樣,既可以從頭開始搭建,也能基于從各種代碼庫下載或克隆的資源來構(gòu)建。
然而,這種開放性和靈活性也為 XCSSET 的操控者提供了可乘之機(jī)。他們通過針對這些項(xiàng)目,巧妙地?cái)U(kuò)大了攻擊目標(biāo)范圍,從開發(fā)源頭就開始埋下惡意種子,一旦項(xiàng)目被使用,惡意軟件就可能隨之進(jìn)入用戶系統(tǒng)。
XCSSET 擁有多個(gè)功能各異的模塊,這些模塊相互協(xié)作,能夠解析系統(tǒng)數(shù)據(jù)、收集各類敏感信息,并將這些信息偷偷泄露出去。其攻擊目標(biāo)數(shù)據(jù)類型極為廣泛,涵蓋登錄信息、聊天應(yīng)用程序和瀏覽器數(shù)據(jù)、Notes 應(yīng)用程序數(shù)據(jù)、數(shù)字錢包數(shù)據(jù)、系統(tǒng)信息以及文件等,幾乎涉及用戶在系統(tǒng)中的方方面面數(shù)據(jù)。
微軟給出的安全建議
鑒于 XCSSET 惡意軟件的威脅,微軟團(tuán)隊(duì)建議:
1. 注重開發(fā)環(huán)境安全
- 僅從官方倉庫獲取Xcode項(xiàng)目資源
- 建立代碼審計(jì)機(jī)制,重點(diǎn)檢查構(gòu)建參數(shù)異常配置
2. 搭建終端防護(hù)策略
- 監(jiān)控.zshrc等配置文件異常修改
- 部署EDR解決方案檢測隱蔽進(jìn)程鏈
參考鏈接:https://www.bleepingcomputer.com/news/security/microsoft-spots-xcsset-macos-malware-variant-used-for-crypto-theft/
