Microsoft обнаружил новый и тревожный штамм макросов для macOS

Компания Microsoft предупреждает о новой версии инфостиллера XCSSET. Новая версия включает улучшенные методы обфускации, заражения и сохранения активности.

Эксперты призывают пользователей быть осторожными. Microsoft сообщила о выявлении новой модификации старого вредоносного ПО для macOS, которое использует более эффективные методы обфускации, устойчивости и инфицирования.

В своем обзоре компания подробно описала новые версии XCSSET, которые считаются сложными модульными зловредами для macOS. Они заражают пользователей через скомпрометированные проекты Xcode. Xcode — это официальная интегрированная среда разработки (IDE) от Apple, которая используется для создания приложений на macOS, iOS, iPadOS, watchOS и tvOS. Она включает редактор кода, отладчик, интерфейсный конструктор и инструменты тестирования и деплоя.

Ограниченные атаки

На самом деле, XCSSET представляет собой инфостиллер, способный извлекать системную информацию и файлы, красть данные цифровых кошельков и вытягивать информацию из официального приложения Notes. Новая версия появилась спустя более двух лет бездействия и включает значительные улучшения.

Для лучшей маскировки XCSSET теперь использует "значительно более рандомизированный" подход к генерации payload'ов для инфицирования проектов Xcode. Для сохранения активности зловред использует две техники: “zshrc” и “dock”. В первой из них вирус создает файл с названием ~/.zshrc_aliases, который содержит payload. Затем он добавляет команду в файл ~/.zshrc, чтобы убедиться, что созданный файл запускается при каждом новом сеансе оболочки. Во второй технике зловред загружает подписанное средство dockutil с сервера управления для управления элементами дока. Затем он создает фальшивое приложение Launchpad и заменяет его реальный экземпляр в доке. Таким образом, когда жертва запускает Launchpad из дока, выполняются как легитимное приложение, так и зловред.

Что касается заражения, XCSSET теперь предлагает новые методы для размещения payload в проектах Xcode. Microsoft отметила, что на данный момент новую модификацию видят только в “ограниченных атаках”, но хотят предупредить пользователей и организации заранее, чтобы те могли защититься.

“Пользователи должны всегда проверять и подтверждать целостность любых скачиваемых или клонируемых проектов Xcode, так как зловред обычно распространяется через скомпрометированные проекты,” — заключает компания. “Также рекомендуется устанавливать приложения только из надежных источников, таких как официальный магазин приложений платформы.”