XCSSET возвращается: что скрывает новая версия вредоносного ПО для macOS

Microsoft обнаружила новую версию известного вредоносного ПО XCSSET, ориентированного на macOS. По данным Microsoft Threat Intelligence, это первое обновление XCSSET с 2022 года . Новая версия отличается улучшенной маскировкой, обновлёнными механизмами закрепления в системе и новыми методами заражения.

XCSSET — это сложное модульное вредоносное ПО, которое заражает проекты Apple Xcode. Впервые оно было зафиксировано в 2020 году специалистами Trend Micro. В дальнейшем злоумышленники адаптировали XCSSET к новым версиям macOS и чипам Apple M1. Киберпреступники использовали его для кражи данных из браузеров, мессенджеров и приложений Apple, включая Заметки и Контакты. В 2021 году уязвимость CVE-2021-30713 позволила вредоносному ПО незаметно делать снимки экрана без дополнительных разрешений.

Обновлённая версия XCSSET теперь использует более сложные методы шифрования и закрепления в системе, чтобы затруднить анализ и обеспечить автоматический запуск при каждом новом сеансе работы в терминале. Один из методов закрепления включает загрузку утилиты dockutil с серверов злоумышленников для управления элементами дока macOS. Далее вредонос создаёт поддельное приложение Launchpad и заменяет его путь в доке, чтобы запускать зловредный код вместе с оригинальным Launchpad.

Несмотря на годы наблюдений за XCSSET, его исходное происхождение остаётся неизвестным. Новая версия доказывает, что киберпреступники продолжают адаптировать вредоносное ПО под современные системы безопасности Apple, используя более изощрённые методы атаки.