XCSSET се завръща: Какво крие новата версия на зловредния софтуер за macOS
Microsoft се е натъкнала нова версия на известния злотворен програмен продукт XCSSET, ориентиран към macOS. Според Microsoft Threat Intelligence това е първата актуализация на XCSSET от 2022 година насам. Новата версия се отличава с усъвършенствано прикриване, обновени механизми за навлизане в системата и нови способи за заразяване.
XCSSET е модернизиран модулен злотворен програмен продукт, който заразява планове, основани на Apple Xcode. Той е открит за първи път през 2020 година от Trend Micro.
По-късно нападателите приспособиха XCSSET към новите версии на macOS и чиповете M1 на Apple. Киберпрестъпниците го употребяват, с цел да крадат данни от браузъри, месинджъри и приложения на Apple, в това число Notes и Contacts. През 2021 година уязвимостта CVE-2021-30713 позволяваше на зловредения програмен продукт да прави прикрито фотоси на екрана без спомагателни позволения.
Актуализираната версия на XCSSET към този момент употребява по-усъвършенствани техники за криптиране и вкореняване, с цел да бъде по-трудно да се проучва и да се подсигурява, че се започва автоматизирано при всяка нова терминална сесия. Един от методите включва евакуиране на помощната стратегия dockutil от сървърите на нападателите, с цел да се управляват док детайлите на macOS. След това зловредният програмен продукт основава подправено приложение Launchpad и заменя пътя му в докплота, с цел да започва злотворен код дружно с истинския Launchpad.
Въпреки дългогодишното наблюдаване на XCSSET първичният му генезис остава незнаен. Новата версия потвърждава, че киберпрестъпниците не престават да приспособяват зловредния програмен продукт към актуалните системи за сигурност на Apple, като употребяват по-сложни способи за офанзива.
