近日，一種新型 XCSSET macOS 模塊化惡意軟件變體在攻擊活動中現(xiàn)身，其目標是竊取用戶的敏感信息，涵蓋數(shù)字錢包數(shù)據(jù)以及合法 Notes 應用程序中的數(shù)據(jù)。

這種惡意軟件通常借助受感染的 Xcode 項目進行傳播，至少已存在五年之久，每次更新都堪稱 XCSSET發(fā)展歷程中的一個里程碑。此次的改進是自2022年以來首次被發(fā)現(xiàn)。

微軟威脅情報團隊在有限的攻擊活動中識別出了這一最新變體，并指出與過往的 XCSSET 變體相比，新變體具備更強的代碼混淆能力、更好的持久化能力以及全新的感染策略。

關(guān)鍵特性剖析

1.隱匿性強化

新變體采用動態(tài)迭代的Base64 + xxd雙重編碼技術(shù)，這種技術(shù)能夠?qū)崿F(xiàn)多層級的代碼混淆。通過不斷變化的編碼迭代次數(shù)，使得安全工具難以對其進行有效的解析和追蹤。

同時，對關(guān)鍵模塊名稱進行加密處理，即使逆向分析專家試圖拆解其代碼結(jié)構(gòu)，也會因為這些加密的模塊名稱而倍感棘手，顯著增加了逆向分析的難度，讓惡意代碼在系統(tǒng)中能夠更長久地潛伏。

2.持久化創(chuàng)新

在實現(xiàn)持久化駐留系統(tǒng)方面，新變體采用了兩種創(chuàng)新方案。

• zshrc 方案：新變體創(chuàng)建名為～/.zshrc_aliases 的文件，并將惡意負載巧妙植入其中。然后通過修改.zshrc 配置文件，實現(xiàn)了會話級自啟動。這意味著只要用戶開啟新的 shell 會話，惡意文件就會自動運行，長期潛伏在系統(tǒng)中，持續(xù)收集信息或執(zhí)行其他惡意指令。
• Dock 劫持方案：從攻擊者的命令與控制（C2）服務器下載經(jīng)過簽名的 dockutil 工具，利用其合法身份繞過部分系統(tǒng)檢測。通過偽造 Launchpad 應用路徑，精心設(shè)計了 “雙觸發(fā)” 機制，當用戶啟動正版應用時，惡意負載也會同時被執(zhí)行，實現(xiàn)了神不知鬼不覺的惡意操作。

3. Xcode感染策略進化

在針對 Xcode 項目的感染策略上，新變體也有了重大進化。

濫用構(gòu)建參數(shù)：利用 TARGET、RULE、FORCED_STRATEGY 等構(gòu)建參數(shù)，將惡意代碼注入到 Xcode 項目中。這些參數(shù)在正常的開發(fā)過程中有著重要作用，但被惡意軟件利用后，就成為了惡意代碼進入項目的 “綠色通道”。

設(shè)備定向滲透：通過篡改 TARGET_DEVICE_FAMILY 構(gòu)建設(shè)置，實現(xiàn)對特定設(shè)備的精準部署。這使得攻擊者可以有針對性地對某些設(shè)備類型進行攻擊，提高攻擊效率和成功率。

XCSSET 并非首次展現(xiàn)其強大的攻擊能力，早在 2021 年 5 月，它就利用零日漏洞（漏洞編號 CVE - 2021 - 30713，蘋果已修復）發(fā)起攻擊。此次新變體的升級，再次印證其開發(fā)者具備持續(xù)突破系統(tǒng)防御的能力，不斷給網(wǎng)絡(luò)安全帶來新的挑戰(zhàn)。

Xcode項目與XCSSET攻擊范圍

Xcode 是蘋果的開發(fā)者工具集，其中包含集成開發(fā)環(huán)境（IDE），開發(fā)者能借助它創(chuàng)建、測試和發(fā)布適用于所有蘋果平臺的應用程序。Xcode 項目的創(chuàng)建方式靈活多樣，既可以從頭開始搭建，也能基于從各種代碼庫下載或克隆的資源來構(gòu)建。

然而，這種開放性和靈活性也為 XCSSET 的操控者提供了可乘之機。他們通過針對這些項目，巧妙地擴大了攻擊目標范圍，從開發(fā)源頭就開始埋下惡意種子，一旦項目被使用，惡意軟件就可能隨之進入用戶系統(tǒng)。

XCSSET 擁有多個功能各異的模塊，這些模塊相互協(xié)作，能夠解析系統(tǒng)數(shù)據(jù)、收集各類敏感信息，并將這些信息偷偷泄露出去。其攻擊目標數(shù)據(jù)類型極為廣泛，涵蓋登錄信息、聊天應用程序和瀏覽器數(shù)據(jù)、Notes 應用程序數(shù)據(jù)、數(shù)字錢包數(shù)據(jù)、系統(tǒng)信息以及文件等，幾乎涉及用戶在系統(tǒng)中的方方面面數(shù)據(jù)。

微軟給出的安全建議

鑒于 XCSSET 惡意軟件的威脅，微軟團隊建議：

1. 注重開發(fā)環(huán)境安全

• 僅從官方倉庫獲取Xcode項目資源
• 建立代碼審計機制，重點檢查構(gòu)建參數(shù)異常配置

2. 搭建終端防護策略

• 監(jiān)控.zshrc等配置文件異常修改
• 部署EDR解決方案檢測隱蔽進程鏈

參考鏈接：https://www.bleepingcomputer.com/news/security/microsoft-spots-xcsset-macos-malware-variant-used-for-crypto-theft/