Er is een nieuwe variant van de XCSSET macOS modulaire malware opgedoken in aanvallen die zich richten op gevoelige gebruikersinformatie, waaronder digitale portemonnees en gegevens uit de legitieme Notes-app.

De malware wordt meestal verspreid via geïnfecteerde Xcode-projecten. Het is al minstens vijf jaar aanwezig en elke update vormt een mijlpaal in de ontwikkeling van XCSSET. De huidige verbeteringen zijn de eerste die sinds 2022 zijn waargenomen.

Het Threat Intelligence-team van Microsoft identificeerde de nieuwste variant in beperkte aanvallen en zegt dat deze, vergeleken met eerdere XCSSET-varianten, verbeterde code-obfuscatie, betere persistentie en nieuwe infectiestrategieën bevat.

In mei 2021 loste Apple een kwetsbaarheid op die actief werd uitgebuit als een zero-day door XCSSET, een indicatie van de capaciteiten van de malware-ontwikkelaar.

Nieuwe XCSSET-variant in omloop

Microsoft waarschuwt vandaag voor nieuwe aanvallen die gebruikmaken van een variant van de XCSSET macOS malware met verbeteringen op meerdere vlakken. Enkele van de belangrijkste wijzigingen die de onderzoekers opmerkten zijn:

• Nieuwe obfuscatie via coderingstechnieken die zowel Base64 als xxd (hexdump) methoden gebruiken, variërend in het aantal iteraties. Modulenaam in de code zijn ook obfusceerd, wat het moeilijker maakt om hun bedoeling te analyseren.
• Twee persistentietechnieken (zshrc en dock)
• Nieuwe Xcode-infectiemethoden: de malware gebruikt de TARGET-, RULE- of FORCED_STRATEGY-opties om de payload in het Xcode-project te plaatsen. Het kan ook de payload invoegen in de TARGET_DEVICE_FAMILY sleutel binnen bouwinstellingen en deze in een later stadium uitvoeren.

Voor de zshrc-persistentiemethode creëert de nieuwe XCSSET-variant een bestand met de naam ~/.zshrc_aliases dat de payload bevat en voegt een opdracht toe in het ~/.zshrc-bestand. Op deze manier wordt het aangemaakte bestand gestart wanneer een nieuwe shellsessie begint.

Voor de dock-methode wordt een ondertekend dockutil-hulpprogramma gedownload van de command-and-control (C2) server van de aanvaller om dock-items te beheren.

XCSSET creëert vervolgens een kwaadaardige Launchpad-toepassing met de payload en wijzigt het pad van de legitieme app om naar de valse te wijzen. Als gevolg daarvan worden, wanneer de Launchpad in het dock start, zowel de echte applicatie als de kwaadaardige payload uitgevoerd.

Xcode is Apple’s ontwikkelaarstoolset die wordt geleverd met een Geïntegreerde Ontwikkelomgeving (IDE) en het mogelijk maakt om apps voor alle Apple-platforms te maken, testen en distribueren.

Een Xcode-project kan vanaf het begin worden gemaakt of worden gebouwd op basis van bronnen die zijn gedownload/gekloneerd uit verschillende repositories. Door zich hierop te richten kan de operator van XCSSET een grotere groep slachtoffers bereiken.

XCSSET heeft meerdere modules om gegevens op het systeem te analyseren, gevoelige informatie te verzamelen en deze te extraheren. Het type gegevens dat wordt gericht, omvat inloggegevens, informatie van chat-applicaties en browsers, de Notes-app, digitale portemonnees, systeeminformatie en bestanden.

Microsoft raadt aan om Xcode-projecten en codebases die zijn gekloond uit niet-officiële repositories te inspecteren en te verifiëren, omdat deze verborgen malware of achterdeurtjes kunnen bevatten.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----