XCSSET возвращается: новая версия вредоносного ПО атакует разработчиков macOS через проекты Xcode

XCSSET заражает проекты Xcode, активируясь в процессе их сборки. Это позволяет предположить, что вредонос распространяется через совместное использование файлов между разработчиками, создающими приложения для экосистемы Apple. Новый вариант отличается от предыдущих версий модульной структурой и зашифрованной полезной нагрузкой. Кроме того, он активно использует скриптовые языки, команды UNIX и легитимные бинарные файлы, что делает его более устойчивым к обнаружению и удалению.

Одним из ключевых нововведений является усовершенствованная обфускация. Названия модулей теперь замаскированы, что затрудняет их анализ. Полезная нагрузка для заражения проектов Xcode генерируется случайным образом и кодируется не только с помощью xxd (hexdump), как раньше, но и через Base64. Также в новой версии реализованы три различных метода персистенции, обеспечивающих выполнение вредоносного кода при каждом новом сеансе оболочки, запуске поддельного приложения Launchpad или совершении Git-коммитов.

Особую опасность представляет новый механизм заражения, при котором XCSSET внедряет свою полезную нагрузку напрямую в целевой проект Xcode. В коде также обнаружены модули, которые, судя по всему, находятся в стадии разработки, что указывает на дальнейшую эволюцию угрозы. Сервер командования и управления (C2) остается активным и продолжает загружать дополнительные модули.

Анализ показал, что атака XCSSET представляет собой четырехступенчатую цепочку заражения, где финальная стадия запускает различные вредоносные подпрограммы. Среди возможностей программы – кража данных цифровых кошельков, заметок, системной и пользовательской информации.

Microsoft уже поделилась результатами исследования с Apple, которая подтвердила угрозу и поблагодарила за сотрудничество. Хотя на данный момент атаки носят ограниченный характер, эксперты рекомендуют разработчикам соблюдать повышенные меры безопасности. В частности, следует избегать использования непроверенных проектов Xcode, регулярно обновлять ПО и применять инструменты мониторинга активности в системе.

XCSSET остается одной из самых сложных угроз для macOS, демонстрируя, как злоумышленники адаптируются к современным средствам защиты. Учитывая модульность и постоянное развитие вредоноса, компаниям и индивидуальным разработчикам необходимо оставаться бдительными и применять комплексные решения для кибербезопасности. Microsoft продолжает отслеживать активность XCSSET и будет публиковать дополнительные рекомендации по защите от этой угрозы.

Domains

• bulknames.ru
• castlenet.ru
• chaoping.ru
• devapple.ru
• figmasol.ru
• gigacells.ru
• gizmodoc.ru
• itoyads.ru
• rigglejoy.ru
• rutornet.ru
• sigmate.ru
• trixmate.ru
• vivatads.ru

SHA256

• 25d226d5cb0c74ed5b1b85f12d53a4c2de2147ff464b2a35db03987015b11e24
• 56670f51f94080f1ae45f2a433767f210f290835bf582e1a2e1876f1028832de
• 8cec3c106659709017bb253becf68296c7bf13e76fa92b4450c281003d225645
• c2a7970216576a6b8f74528ffcfa51aa2b72b7f3e4237d97715b1b5ba80b25ca
• cc37a01d3351b3c166f04aec6f52849e909b0b9c8d55095d730c660691b1ba66
• d338dc9a75a14753f57399815b5d996a1c5e65aa4eb203222d8c85fb3d74b02f
• ea90c72e67f1c9a9231732119576a7dcb29471f7da428866187d4326e78097f2
• f67e2a27f0d1a4667b065ab05f884ff881eb7627e9d458f97f2204647b339c6e
• ff83f53a383ba3f1d6b002006adf16a7f0b3263185d56cb70104889874d67c5d