近期,微软威胁情报中心在社交媒体平台上发布了一条重要安全警报,揭示了一种针对macOS系统的新型恶意软件变种——XCSSET。据悉,这款恶意软件变种最早于2022年被发现,尽管其攻击范围相对有限,但其独特的感染机制已对用户数据安全构成了严峻挑战。
XCSSET变种的功能异常强大,它不仅能够窃取用户的数字钱包信息、Notes应用数据、系统信息及文件,还通过一系列技术手段增强了其隐蔽性。具体而言,该恶意软件采用了更为复杂的Payload混淆技术和模块名称混淆策略,使得安全软件难以有效检测。XCSSET还引入了更为随机的payload生成方式,结合xxd(hexdump)和Base64编码技术,进一步提升了其逃避安全检测的能力。
为了在被感染系统中实现长期潜伏,XCSSET变种采取了多种策略。一方面,它通过修改用户的shell会话文件(zshrc),实现了开机自启动,从而确保恶意软件能够随系统一同启动。另一方面,XCSSET还利用dockutil工具伪造Launchpad应用程序,诱导用户点击并启动恶意代码,以此实现更为隐蔽的持久化驻留。
尤为值得关注的是,XCSSET变种提供了多种将恶意代码植入Xcode项目的方式。这些方式包括但不限于TARGET、RULE和FORCED_STRATEGY等,使得开发者在构建设置中难以察觉其存在。更为狡猾的是,XCSSET还能隐藏在构建设置的TARGET_DEVICE_FAMILY值下,进一步增加了其被发现的难度。
此次微软威胁情报中心发布的警报,再次提醒了广大macOS用户和开发者,必须高度警惕此类新型恶意软件变种所带来的安全威胁。鉴于XCSSET变种能够通过感染Xcode项目来窃取用户数据和信息,用户和开发者需加强安全意识,采取有效防护措施,以确保个人和企业的数据安全不受侵害。
