Специалисты Microsoft Threat Intelligence в ходе планового поиска угроз обнаружили новый вариант XCSSET, сложного модульного вредоносного ПО для macOS, заражающего проекты Xcode.
XCSSET Malware
Это первый известный вариант вредоносной программы XCSSET с 2022 года, в котором усовершенствованы методы обфускации, обновлены механизмы сохранения и новые стратегии заражения. Эти усовершенствованные функции позволяют данному семейству вредоносных программ похищать и распространять файлы и системную/пользовательскую информацию, например данные цифровых кошельков, заметки и многое другое.
XCSSET известен тем, что заражает проекты Xcode и запускается в процессе сборки проектов Xcode. Это позволяет предположить, что метод заражения и распространения вредоносной программы основан на идее совместного использования файлов проектов разработчиками, создающими приложения для Apple или macOS.
Несмотря на сходство со старыми вариантами XCSSET, новый вариант отличается модульным подходом и закодированной полезной нагрузкой. Кроме того, в нем улучшена обработка ошибок и активно используются скриптовые языки, команды UNIX и легитимные бинарные файлы. Эти характеристики позволяют вредоносной программе оставаться незаметной на зараженном устройстве и потенциально избегать файлового обнаружения и удаления.
На уровне кода новый вариант XCSSET обфусцирует названия своих модулей, что затрудняет определение их назначения с помощью статического анализа. Улучшенные методы обфускации также распространяются на рандомизированную генерацию полезной нагрузки для заражения проектов Xcode и кодирование полезной нагрузки. Кроме того, если предыдущие варианты XCSSET использовали только xxd (hexdump) для кодирования, то последний вариант также включает Base64. Среди других примечательных особенностей нового варианта - три различных метода сохранения, которые обеспечивают выполнение полезной нагрузки при каждом новом сеансе оболочки, запуске поддельного приложения Launchpad или коммитах Git, а также новый метод заражения, при котором вредоносная программа внедряет свою полезную нагрузку в целевой проект Xcode. Наш анализ также выявил в коде этого нового варианта несколько модулей, которые, судя по всему, находятся на стадии разработки. Его командно-контрольный (C2) сервер также активен на момент написания статьи и загружает дополнительные модули.
В этом блоге мы рассмотрим, как различные модули этого варианта работают вместе для достижения целей вредоносной программы. В рамках обязательств Microsoft по сотрудничеству с сообществом специалистов по безопасности для снижения угроз и повышения уровня безопасности для всех, мы поделились этими результатами с Apple, которая подтвердила и поблагодарила нас за предоставленную информацию. Хотя в настоящее время мы наблюдаем ограниченное количество атак с использованием этого нового варианта XCSSET, мы публикуем результаты нашего всестороннего анализа и предоставляем лучшие практики и рекомендации для более широкого круга пользователей и организаций, чтобы защитить себя от этой угрозы.
В ходе анализа последнего варианта XCSSET выяснилось, что он представляет собой четырехступенчатую цепочку заражения, причем полезная нагрузка четвертой ступени запускает различные подпрограммы. Подробное описание каждого из этих модулей представлено в следующих разделах.
В целом, новый вариант XCSSET представляет собой сложную и развивающуюся угрозу, использующую передовые технологии для заражения проектов Xcode и утечки конфиденциальной информации с устройств macOS.
Indicators of Compromise
Domains
- bulknames.ru
- castlenet.ru
- chaoping.ru
- devapple.ru
- figmasol.ru
- gigacells.ru
- gizmodoc.ru
- itoyads.ru
- rigglejoy.ru
- rutornet.ru
- sigmate.ru
- trixmate.ru
- vivatads.ru
SHA256
- 25d226d5cb0c74ed5b1b85f12d53a4c2de2147ff464b2a35db03987015b11e24
- 56670f51f94080f1ae45f2a433767f210f290835bf582e1a2e1876f1028832de
- 8cec3c106659709017bb253becf68296c7bf13e76fa92b4450c281003d225645
- c2a7970216576a6b8f74528ffcfa51aa2b72b7f3e4237d97715b1b5ba80b25ca
- cc37a01d3351b3c166f04aec6f52849e909b0b9c8d55095d730c660691b1ba66
- d338dc9a75a14753f57399815b5d996a1c5e65aa4eb203222d8c85fb3d74b02f
- ea90c72e67f1c9a9231732119576a7dcb29471f7da428866187d4326e78097f2
- f67e2a27f0d1a4667b065ab05f884ff881eb7627e9d458f97f2204647b339c6e
- ff83f53a383ba3f1d6b002006adf16a7f0b3263185d56cb70104889874d67c5d
