Основы Интернет - технологий.

Обнаружена новая версия модульной малвари XCSSET для macOS. Вредонос похищает конфиденциальную информацию пользователей, включая данные цифровых кошельков и информацию из приложения Notes. Разработчикам рекомендуют сохранять бдительность, поскольку основным вектором заражения являются Xcode-проекты. Специалисты Microsoft Threat Intelligence напоминают, что XCSSET активна уже около пяти лет, и текущее обновление является первым с 2022 года. Хотя возможности малвари в целом остаются прежними, новая версия отличается улучшенной обфускацией кода, использует новые техники для установления устойчивости и демонстрирует новые стратегии заражения. Среди ключевых изменений исследователи перечислили: новую обфускацию с помощью методов, использующих не только Base64, но и xxd (hexdump), которые различаются по количеству итераций. Отмечается, что имена модулей в коде тоже обфусцированы, что дополнительно затрудняет анализ; две техники для установления устойчивости (zshrc и dock); новые методы заражения: малварь использует опции TARGET, RULE или FORCED_STRATEGY для размещения полезной нагрузки в Xcode-проектах. Также вредонос способен внедрять полезную нагрузку в ключ TARGET_DEVICE_FAMILY и запускать на более позднем этапе. В случае использования метода zshrc новая версия XCSSET создает файл ~/.zshrc_aliases, содержащий полезную нагрузку, и добавляет команду в файл ~/.zshrc. Таким образом, созданный файл запускается при запуске нового шелл-сеанса. При использовании метода dock с управляющего сервера злоумышленников загружается подписанный инструмент dockutil. Затем XCSSET создает вредоносное приложение Launchpad с полезной нагрузкой и изменяет путь легитимного приложения таким образом, чтобы он указывал на фальшивку. В результате при запуске Launchpad в dock выполняется не только настоящее приложение, но и вредоносная полезная нагрузка. Эксперты отмечают, что XCSSET по-прежнему имеет множество модулей для парсинга данных в системе, сбора конфиденциальной информации и ее кражи. Так, малварь интересуют логины, информация из чат-приложений и браузеров, приложения Notes, данные цифровых кошельков, системная информация и файлы. Microsoft рекомендует внимательно проверять любые проекты Xcode, клонированные из неофициальных репозиториев, поскольку те могут скрывать обфусцированную малварь и бэкдоры.