近日，一種新型 XCSSET macOS 模塊化惡意軟件變體在攻擊活動(dòng)中現(xiàn)身，其目標(biāo)是竊取用戶的敏感信息，涵蓋數(shù)字錢包數(shù)據(jù)以及合法 Notes 應(yīng)用程序中的數(shù)據(jù)。

這種惡意軟件通常借助受感染的 Xcode 項(xiàng)目進(jìn)行傳播，至少已存在五年之久，每次更新都堪稱 XCSSET發(fā)展歷程中的一個(gè)里程碑。此次的改進(jìn)是自2022年以來(lái)首次被發(fā)現(xiàn)。

微軟威脅情報(bào)團(tuán)隊(duì)在有限的攻擊活動(dòng)中識(shí)別出了這一最新變體，并指出與過(guò)往的 XCSSET 變體相比，新變體具備更強(qiáng)的代碼混淆能力、更好的持久化能力以及全新的感染策略。

關(guān)鍵特性剖析

1.隱匿性強(qiáng)化

新變體采用動(dòng)態(tài)迭代的Base64 + xxd雙重編碼技術(shù)，這種技術(shù)能夠?qū)崿F(xiàn)多層級(jí)的代碼混淆。通過(guò)不斷變化的編碼迭代次數(shù)，使得安全工具難以對(duì)其進(jìn)行有效的解析和追蹤。

同時(shí)，對(duì)關(guān)鍵模塊名稱進(jìn)行加密處理，即使逆向分析專家試圖拆解其代碼結(jié)構(gòu)，也會(huì)因?yàn)檫@些加密的模塊名稱而倍感棘手，顯著增加了逆向分析的難度，讓惡意代碼在系統(tǒng)中能夠更長(zhǎng)久地潛伏。

2.持久化創(chuàng)新

在實(shí)現(xiàn)持久化駐留系統(tǒng)方面，新變體采用了兩種創(chuàng)新方案。

• zshrc 方案：新變體創(chuàng)建名為～/.zshrc_aliases 的文件，并將惡意負(fù)載巧妙植入其中。然后通過(guò)修改.zshrc 配置文件，實(shí)現(xiàn)了會(huì)話級(jí)自啟動(dòng)。這意味著只要用戶開(kāi)啟新的 shell 會(huì)話，惡意文件就會(huì)自動(dòng)運(yùn)行，長(zhǎng)期潛伏在系統(tǒng)中，持續(xù)收集信息或執(zhí)行其他惡意指令。
• Dock 劫持方案：從攻擊者的命令與控制（C2）服務(wù)器下載經(jīng)過(guò)簽名的 dockutil 工具，利用其合法身份繞過(guò)部分系統(tǒng)檢測(cè)。通過(guò)偽造 Launchpad 應(yīng)用路徑，精心設(shè)計(jì)了 “雙觸發(fā)” 機(jī)制，當(dāng)用戶啟動(dòng)正版應(yīng)用時(shí)，惡意負(fù)載也會(huì)同時(shí)被執(zhí)行，實(shí)現(xiàn)了神不知鬼不覺(jué)的惡意操作。

3. Xcode感染策略進(jìn)化

在針對(duì) Xcode 項(xiàng)目的感染策略上，新變體也有了重大進(jìn)化。

濫用構(gòu)建參數(shù)：利用 TARGET、RULE、FORCED_STRATEGY 等構(gòu)建參數(shù)，將惡意代碼注入到 Xcode 項(xiàng)目中。這些參數(shù)在正常的開(kāi)發(fā)過(guò)程中有著重要作用，但被惡意軟件利用后，就成為了惡意代碼進(jìn)入項(xiàng)目的 “綠色通道”。

設(shè)備定向滲透：通過(guò)篡改 TARGET_DEVICE_FAMILY 構(gòu)建設(shè)置，實(shí)現(xiàn)對(duì)特定設(shè)備的精準(zhǔn)部署。這使得攻擊者可以有針對(duì)性地對(duì)某些設(shè)備類型進(jìn)行攻擊，提高攻擊效率和成功率。

XCSSET 并非首次展現(xiàn)其強(qiáng)大的攻擊能力，早在 2021 年 5 月，它就利用零日漏洞（漏洞編號(hào) CVE - 2021 - 30713，蘋果已修復(fù)）發(fā)起攻擊。此次新變體的升級(jí)，再次印證其開(kāi)發(fā)者具備持續(xù)突破系統(tǒng)防御的能力，不斷給網(wǎng)絡(luò)安全帶來(lái)新的挑戰(zhàn)。

Xcode項(xiàng)目與XCSSET攻擊范圍

Xcode 是蘋果的開(kāi)發(fā)者工具集，其中包含集成開(kāi)發(fā)環(huán)境（IDE），開(kāi)發(fā)者能借助它創(chuàng)建、測(cè)試和發(fā)布適用于所有蘋果平臺(tái)的應(yīng)用程序。Xcode 項(xiàng)目的創(chuàng)建方式靈活多樣，既可以從頭開(kāi)始搭建，也能基于從各種代碼庫(kù)下載或克隆的資源來(lái)構(gòu)建。

然而，這種開(kāi)放性和靈活性也為 XCSSET 的操控者提供了可乘之機(jī)。他們通過(guò)針對(duì)這些項(xiàng)目，巧妙地?cái)U(kuò)大了攻擊目標(biāo)范圍，從開(kāi)發(fā)源頭就開(kāi)始埋下惡意種子，一旦項(xiàng)目被使用，惡意軟件就可能隨之進(jìn)入用戶系統(tǒng)。

XCSSET 擁有多個(gè)功能各異的模塊，這些模塊相互協(xié)作，能夠解析系統(tǒng)數(shù)據(jù)、收集各類敏感信息，并將這些信息偷偷泄露出去。其攻擊目標(biāo)數(shù)據(jù)類型極為廣泛，涵蓋登錄信息、聊天應(yīng)用程序和瀏覽器數(shù)據(jù)、Notes 應(yīng)用程序數(shù)據(jù)、數(shù)字錢包數(shù)據(jù)、系統(tǒng)信息以及文件等，幾乎涉及用戶在系統(tǒng)中的方方面面數(shù)據(jù)。

微軟給出的安全建議

鑒于 XCSSET 惡意軟件的威脅，微軟團(tuán)隊(duì)建議：

1. 注重開(kāi)發(fā)環(huán)境安全

• 僅從官方倉(cāng)庫(kù)獲取Xcode項(xiàng)目資源
• 建立代碼審計(jì)機(jī)制，重點(diǎn)檢查構(gòu)建參數(shù)異常配置

2. 搭建終端防護(hù)策略

• 監(jiān)控.zshrc等配置文件異常修改
• 部署EDR解決方案檢測(cè)隱蔽進(jìn)程鏈

參考鏈接：https://www.bleepingcomputer.com/news/security/microsoft-spots-xcsset-macos-malware-variant-used-for-crypto-theft/