微软威胁情报中心官方账号于2月17日在X平台发布推文,报告了新型macOS恶意软件变种XCSSET。这款变种自2022年首次被发现,目前来看虽然其攻击范围不大,但其通过感染Xcode项目的方式对用户构成严重安全威胁。
新版的XCSSET不仅保留了窃取数字钱包、Notes应用数据、系统信息和文件的能力,而且还通过升级Payload混淆和模块名称混淆来增加隐蔽性。此外,它采用更随机的payload生成方式,并结合xxd (hexdump) 和Base64编码来躲避安全软件的检测;在代码层面上混淆模块名称以加大逆向分析的难度。
为了确保恶意软件能够长期潜伏在受感染系统中,新变种还通过“zshrc”潜伏(修改shell会话文件,实现开机自启动)和“dock”伪装(利用dockutil工具伪造Launchpad应用程序,欺骗用户点击并启动恶意代码),实现持久化驻留。
值得注意的是,XCSSET提供了多种将恶意代码植入Xcode项目的方式,包括TARGET、RULE和FORCED_STRATEGY等,并且可以隐藏在构建设置的TARGET_DEVICE_FAMILY值下。
这篇文章介绍了微软威胁情报中心官方账号近日在X平台上发布的关于新型macOS恶意软件变种XCSSET的情况。该变种可能对用户构成严重安全威胁,因为它能够通过感染Xcode项目来窃取用户的数据和信息。
售前咨询专员