Nova verzija macOS zloćudnog softvera: Microsoft otkriva napredni XCSSET
Microsoft je nedavno objavio upozorenje o novoj verziji starih macOS zloćudnih softverskih varijanti, a ova nova verzija donosi poboljšane tehnike obfuscacije, veću otpornost i nove mehanizme infekcije. U kratkom postu na društvenoj mreži X, Microsoft je detaljno opisao otkriće novog XCSSET-a, koji se opisuje kao “složen modularni macOS zloćudni softver” namijenjen korisnicima kroz inficirane Xcode projekte.
Što je Xcode?
Xcode je službeno integrirano razvojno okruženje (IDE) kompanije Apple za izradu aplikacija na macOS, iOS, iPadOS, watchOS i tvOS. Ovaj alat uključuje uređivač koda, debager, sučelje za izgradnju aplikacija, kao i alate za testiranje i implementaciju aplikacija.
XCSSET: Infostealer s novim mogućnostima
U svojoj suštini, XCSSET je infostealer sposoban prikupljati sistemske informacije i datoteke, krasti podatke iz digitalnih novčanika i dobivati informacije iz službene Notes aplikacije. Ova najnovija verzija dolazi nakon više od dvije godine mirovanja, s brojnim značajnim poboljšanjima.
Napredne tehnike skrivanja
Kako bi se bolje sakrio, XCSSET sada koristi “značajno nasumičniji” pristup generiranju payloada za infekciju Xcode projekata, objasnio je Microsoft. Za postizanje trajnosti, XCSSET koristi dvije tehnike: “zshrc” i “dock”.
- Zshrc tehnika: Zloćudni softver stvara datoteku pod imenom ~/.zshrc_aliases koja sadrži payload. Na kraju dodaje komandu u datoteku ~/.zshrc kako bi osigurao da se nova datoteka pokrene svaki put kad započne nova shell sesija.
- Dock tehnika: Zloćudni softver preuzima potpisani dockutil alat s komandnog i kontrolnog poslužitelja radi upravljanja stavkama u docku. Kreira lažnu Launchpad aplikaciju i zamjenjuje ulaz legitimne aplikacije u docku. Tako, kada žrtva pokrene Launchpad, obe aplikacije—legitimna i zloćudna—se izvršavaju.
Novi mehanizmi infekcije
XCSSET dolazi s novim metodama za postavljanje payloada unutar Xcode projekta. U ovom trenutku, Microsoft tvrdi da vidi novu varijantu samo u “ograničenim napadima”, ali žele podići alarm na vrijeme kako bi korisnici i organizacije mogli zaštititi sebe.
Kako se zaštititi?
“Korisnici moraju uvijek pregledati i provjeriti sve Xcode projekte koje preuzimaju ili kloniraju iz repozitorija, jer se zloćudni softver obično širi kroz inficirane projekte,” zaključio je Microsoft. “Također, trebali bi instalirati aplikacije samo iz pouzdanih izvora, poput službene trgovine aplikacijama softverske platforme.”
Zaključak
Ovo je ozbiljno upozorenje za sve korisnike macOS-a. Budite oprezni i uvijek provjeravajte projekte koje preuzimate kako biste osigurali svoju privatnost i sigurnost. Što prije poduzmete mjere zaštite, to ćete biti sigurniji u digitalnom svijetu.
