XCSSET MacOS modüler kötü amaçlı yazılımının yeni bir varyantı, kullanıcıların hassas bilgileri hedefleyen, dijital cüzdanlar ve Meşru Notlar uygulamasından veriler de dahil olmak üzere saldırılarda ortaya çıktı.
Kötü amaçlı yazılım genellikle enfekte Xcode projeleri aracılığıyla dağıtılır. En az beş yıldır var ve her güncelleme XCSSET'in gelişiminde bir kilometre taşını temsil ediyor. Mevcut iyileştirmeler 2022'den beri gözlemlenen ilk gelişmelerdir.
Microsoft'un Tehdit İstihbarat Ekibi, sınırlı saldırılardaki en son varyantı tanımladı ve geçmiş XCSSET varyantlarına kıyasla, yeni olanın gelişmiş kod gizlemesi, daha iyi kalıcılık ve yeni enfeksiyon stratejileri içerdiğini söylüyor.
Mayıs 2021'de Apple, kötü amaçlı yazılım geliştiricisinin yeteneklerinin bir göstergesi olan XCSSET tarafından aktif olarak sıfır gün olarak kullanılan bir güvenlik açığını düzeltti.
Microsoft, bugün XCSSET macOS kötü amaçlı yazılımlarının bir varyantını kullanan yeni saldırıları uyarıyor. Araştırmacıların tespit ettiği temel değişikliklerden bazıları şunlardır:
ZSHRC kalıcılık yöntemi için, yeni XCSSET varyantı ~/.ZSHRC_ALIASES adlı ve ~/.zshrc dosyasında bir komut ekleyen bir dosya oluşturur. Bu şekilde, oluşturulan dosya yeni bir kabuk oturumu başladığında başlatılır.
Rıhtım yöntemi için, Rıhtım öğelerini yönetmek için saldırganın komut ve kontrol (C2) sunucusundan imzalı bir dockil aracı indirilir.
XCSSET daha sonra yükle ilgili kötü amaçlı bir Launchpad uygulaması oluşturur ve meşru uygulamanın sahte olanı işaret etme yolunu değiştirir. Sonuç olarak, rıhtımdaki Launchpad başladığında, hem gerçek uygulama hem de kötü amaçlı yük yükü yürütülür.
Xcode, entegre bir geliştirme ortamı (IDE) ile birlikte gelen ve tüm Apple platformları için uygulamaların oluşturulmasına, test edilmesine ve dağıtılmasına izin veren Apple'ın geliştirici araç setidir.
Bir Xcode projesi sıfırdan oluşturulabilir veya çeşitli depolardan indirilen/klonlanan kaynaklara göre oluşturulabilir. Onları hedefleyerek, XCSSET operatörü daha büyük bir kurban havuzuna ulaşabilir.
XCSSET, sistemdeki verileri ayrıştırmak, hassas bilgileri toplamak ve dışarı atacak birden fazla modül bulunur. Hedeflenen veri türü, girişler, sohbet uygulamaları ve tarayıcılardan gelen bilgiler, notlar uygulaması, dijital cüzdanlar, sistem bilgileri ve dosyalar içerir.
Microsoft, gayri resmi depolardan klonlanan Xcode projelerinin ve kod tabanlarının denetlenmesini ve doğrulanmasını önerir, çünkü bunlar gizlenmiş kötü amaçlı yazılımları veya arka kolları gizleyebilir.
Banshee Stealer, Apple Xprotect Şifreleme Algo'yu kullanarak Tespit Edilmiştir
Microsoft, saldırganların kötü amaçlı yazılımları dağıtmak için maruz kalan ASP.NET anahtarlarını kullandığını söylüyor
Steam'de PirateFi Oyunu Şifre Çalma Kötü Yazılımları Kurarak Yakalandı
DPRK Hackers Dupe, yönetici olarak PowerShell komutlarını yazmayı hedefliyor
Microsoft, kötü amaçlı yazılım tarafından kullanılan güvenli önyükleme sıfır günleri için isteğe bağlı düzeltme
Kaynak: Bleeping Computer