Atakose atsirado naujas „XCSSET MACOS“ modulinės kenkėjiškos programos variantas, kuris nukreiptas į neskelbtiną vartotojų informaciją, įskaitant skaitmenines pinigines ir duomenis iš teisėtos pastabų programos.
Kenkėjiška programa paprastai paskirstoma per užkrėstus „Xcode“ projektus. Jis gyvuoja mažiausiai penkerius metus ir kiekvienas atnaujinimas yra „XCSSET“ plėtros etapas. Dabartiniai patobulinimai yra pirmieji, stebimi nuo 2022 m.
„Microsoft“ grėsmės žvalgybos komanda nustatė naujausią ribotų atakų variantą ir sako, kad, palyginti su ankstesniais „XCSSET“ variantais, naujoji funkcija sustiprino kodą, geresnį atkaklumą ir naujas infekcijos strategijas.
2021 m. Gegužės mėn. „Apple“ nustatė pažeidžiamumą, kurį „XCSSET“ aktyviai išnaudojo kaip nulinę dieną, tai rodo kenkėjiškų programų kūrėjo galimybes.
Naujas „XCSSET“ variantas gamtoje
Šiandien „Microsoft“ perspėja apie naujas atakas, kuriose naudojamas „XCSSET MACOS“ kenkėjiškos programos variantas su patobulinimais. Kai kurios pagrindinės tyrėjų pastebėtos modifikacijos yra::
- Naujas užmaskavimas per kodavimo metodai, kurie priklauso nuo bazės64 ir xxD (hexDump) metodų, kurie skiriasi iteracijų skaičiumi. Taip pat užmaskuojami modulio pavadinimai kode, todėl sudėtingiau analizuoti jų ketinimus
- Du atkaklumo būdai (ZSHRC ir dokas)
- Nauji „Xcode“ infekcijos metodai: Kenkėjiška programinė įranga naudoja tikslą, taisyklę ar priverstinę_strategijos parinktis, kad naudotų krovinių į „XCode“ projektą. Jis taip pat gali įterpti naudingą apkrovą į „Target_device_family“ klavišą „Build“ nustatymuose ir paleidžia jį vėliau
Už ZSHRC Nuolatinio metodo, naujas „XCSSET“ variantas sukuria failą pavadinimu ~/.zshrc_aliases, kuriame yra naudingas krovinys ir pridedama komanda ~/.zshrc faile. Tokiu būdu sukurtas failas paleidžiamas, kai tik prasideda nauja apvalkalo sesija.
Už dokas Metodas, pasirašytas „DocKutil“ įrankis atsisiunčiamas iš užpuoliko komandos ir kontrolės (C2) serverio, kad būtų galima valdyti „Dock“ elementus.
Tada „XCSSET“ sukuria kenksmingą „Launchpad“ programą su naudingu apkrovomis ir keičia teisėtą programos kelią nukreipti į netikrą. Dėl to, kai prasideda doko paleidimo skydelis, vykdoma ir tikra programa, ir kenkėjiška naudinga apkrova.
„XCode“ yra „Apple“ kūrėjų įrankių rinkinys, pateikiamas su integruota kūrimo aplinka (IDE) ir leidžia kurti, testuoti ir platinti programas visoms „Apple“ platformoms.
„Xcode“ projektą galima sukurti nuo nulio arba sukurti remiantis ištekliais, atsisiųstais/klonuotais iš įvairių saugyklų. Taikydamas juos, „XCSSET“ operatorius gali pasiekti didesnį aukų telkinį.
„XCSSET“ turi keletą modulių, skirtų duomenų apie sistemą, rinkti neskelbtiną informaciją ir ją ištiesti. Taikomųjų duomenų tipas apima prisijungimus, informaciją iš pokalbių programų ir naršyklių, „Notes“ programos, skaitmeninių piniginių, sistemos informacijos ir failų.
„Microsoft“ rekomenduoja tikrinti ir patikrinti „Xcode“ projektus ir kodų bazes, klonuotas iš neoficialių saugyklų, nes jie gali paslėpti kenkėjiškas programas ar užpakalines dalis.
