Microsoft выявила новую хитроумную кампанию вредоносного ПО XCSSET для macOS

Microsoft предупреждает о новой версии вредоносного ПО XCSSET, крадущего информацию.

В обновленной версии появились новые методы маскировки, заражения и сохранения в системе. По данным исследователей из команды Microsoft по борьбе с угрозами, на данный момент эта модульная вредоносная программа используется в «ограниченном количестве атак», но все же стоит быть бдительными.

Это первое обновление XCSSET за три года. Теперь у него улучшенные методы маскировки, обновленные механизмы сохранения в системе и новые стратегии заражения.

"Эти улучшенные функции добавляют к ранее известным возможностям этой вредоносной программы, таким как нацеливание на цифровые кошельки, сбор данных из приложения "Заметки" и хищение информации о системе и файлов," - заявила Microsoft.

Microsoft впервые сообщила об этом новом штамме XCSSET в середине февраля этого года и теперь представила подробный анализ.

Xcode - это официальная интегрированная среда разработки (IDE) Apple для создания приложений на macOS, iOS, iPadOS, watchOS и tvOS. Она включает редактор кода, отладчик, Interface Builder и инструменты для тестирования и развертывания приложений. По сути, XCSSET - это программа-воровка данных. Она способна извлекать информацию о системе и файлы, красть данные цифровых кошельков и получать информацию из официального приложения "Заметки".

Для маскировки XCSSET теперь использует "значительно более случайный подход" к созданию полезных нагрузок для заражения проектов Xcode. Что касается обновленных методов сохранения в системе, новый вариант использует две техники: "zshrc" и "dock". Наконец, для заражения появились новые методы размещения полезной нагрузки в целевом проекте Xcode.

"Пользователи должны всегда проверять и подтверждать любые проекты Xcode, загруженные или клонированные из репозиториев, поскольку вредоносное ПО обычно распространяется через зараженные проекты," - заключила компания. "Они также должны устанавливать приложения только из надежных источников, таких как официальный магазин приложений платформы программного обеспечения."

Подробный анализ вредоносной программы и ее modus operandi можно найти здесь.