Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новый вариант XCSSET: угроза для разработчиков macOS

1
2 мин
Microsoft Threat Intelligence выявила новый вариант XCSSET, сложной модульной вредоносной программы для macOS, предназначенной специально для проектов Xcode. Этот вариант представляет собой заметное отличие от предыдущих версий, демонстрируя усовершенствованные методы обфускации, улучшенную стойкость и инновационные стратегии заражения. Исторически сложилось так, что XCSSET в значительной степени полагался на распространение зараженных файлов Xcode project. Зараженные проекты часто используются совместно в сообществах разработчиков, что повышает потенциал распространения вредоносного ПО. В новом варианте применяется сложный четырехэтапный процесс заражения: В новом варианте XCSSET используются: Программное обеспечение достигает стойкости за счет различных методов. Например,: Кроме того, модули вредоносного ПО обладают различными возможностями, включая: Дальнейший анализ показывает, что некоторые модули кода остаются в разработке, что указывает на постоянное совершенствование вредоносно
Оглавление

Microsoft Threat Intelligence выявила новый вариант XCSSET, сложной модульной вредоносной программы для macOS, предназначенной специально для проектов Xcode. Этот вариант представляет собой заметное отличие от предыдущих версий, демонстрируя усовершенствованные методы обфускации, улучшенную стойкость и инновационные стратегии заражения.

Исторический контекст и распространение

Исторически сложилось так, что XCSSET в значительной степени полагался на распространение зараженных файлов Xcode project. Зараженные проекты часто используются совместно в сообществах разработчиков, что повышает потенциал распространения вредоносного ПО. В новом варианте применяется сложный четырехэтапный процесс заражения:

  • На первом этапе выполняется команда командной строки, которая подключается к серверу управления (C2).
  • Собирается информация об операционной системе устройства жертвы и загружается дополнительная полезная нагрузка.
  • На последующих этапах проверяются антивирусные средства, включая XProtect для macOS.
  • Обрабатываются файлы приложений для обеспечения непрерывного выполнения вредоносных программ.

Усовершенствования в методах обфускации

В новом варианте XCSSET используются:

  • AppleScript и сценарии оболочки.
  • Допустимые двоичные файлы, что затрудняет их обнаружение.
  • Рандомизированные названия модулей и несколько методов кодирования, включая Base64 и xxd.

Стойкость и вредоносные возможности

Программное обеспечение достигает стойкости за счет различных методов. Например,:

  • Модификация законных приложений.
  • Создание замаскированного экземпляра Launchpad для выполнения вредоносного кода.

Кроме того, модули вредоносного ПО обладают различными возможностями, включая:

  • Удаление конфиденциальной пользовательской информации, включая данные из приложения Notes и установленных расширений браузера.
  • Создание загрузок с помощью скриптовых команд.
  • Минимизация использования диска с помощью возможностей без использования файлов.

Перспективы угрозы

Дальнейший анализ показывает, что некоторые модули кода остаются в разработке, что указывает на постоянное совершенствование вредоносного ПО. Более того, вредоносное ПО постоянно запрашивает сервер C2 для получения новых модулей или обновлений, что еще больше повышает его универсальность и уровень угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новый вариант XCSSET: угроза для разработчиков macOS".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются