XCSSET MACOS恶意软件以自2022年以来的第一个新版本返回
Microsoft以过去的零日为单位而闻名,Microsoft将Apple Dev置于高级AlertMicrosoft上,说Mac用户的ProWl上有一个新的XCSSET变体 - 自2022年以来,该恶意软件的首次新迭代。
来源:The Register _恶意软件Microsoft说,Mac用户在Prowl上有一个新的XCSSET变体 - 自2022年以来的第一个新迭代。
XCSSET已在有限的攻击中看到,但是Apple Devs应该特别警惕,因为主要感染向量是通过Xcode Projects。
残留于2022年的恶意软件的主要功能。它仍然追逐数字钱包内容,并从笔记和其他系统文件中收集数据。微软在周一的警报中说,主要更新的形式是更好的代码混淆,更新的持续机制和新的感染方法。
警报其新的混淆技术的关键是随机化。与以前的版本相比,用于编码有效载荷的编码和编码迭代次数的两种方法都“明显更随机”。
SentinelOne在2022年进行了研究,并找到了随机化的证据,尤其是在Applescript有效载荷文件中的Curl的 - 最大时间值和脚本的Phasename变量中。它说,当时这些技术很可能被部署以逃避静态分析和威胁狩猎规则。
研究了XCSSET- 最大时间
phasename
Microsoft说,除了使用XXD在以前的版本中编码外,XCSSet现在还使用base64,并且模块名称也被混淆,从而增加了确定每个功能的难度。
Microsoft详细介绍了两种用于建立持久性的方法。第一个是ZSHRC方法,可确保恶意软件在外壳会话中持续存在。有效载荷被丢弃在名为〜/.zshrc_aliases的文件中,然后将命令附加到〜/.zshrc文件中,以便在每个shell会话中启动有效载荷。
每当通过MacOS码头执行启动板时,码头方法都会启动恶意有效载荷。通过攻击者的C2下载了一个签名的Dockutil工具,然后恶意软件生成了一个假启动板应用,并用新创建的恶意One代替了码头上合法的路径条目。
添加