Microsoft ha dichiarato di aver scoperto una nuova variante di un malware Apple MacOS noto XCSSET Come parte di attacchi limitati in natura.
“La sua prima variante conosciuta dal 2022, quest’ultimo malware XCSSET presenta metodi di offuscamento migliorati, meccanismi di persistenza aggiornati e nuove strategie di infezione”, il group di intelligence delle minacce Microsoft disse In un publish condiviso su X.
“Queste funzionalità migliorate si aggiungono alle funzionalità precedentemente conosciute di questa famiglia di malware, come focusing on di portafogli digitali, raccolta di dati dall’app Notice e informazioni e file di sistema esfiltranti.”
XCSSET è un sofisticato malware MACOS modulare che è noto per colpire gli utenti infettando i progetti Apple Xcode. Period Primo documentato di Pattern Micro nell’agosto 2020.
Successivo iterazioni del malware Si è scoperto che si adatta a compromettere le versioni più recenti di macOS e i chipset M1 di Apple. A metà del 2021, la società di sicurezza informatica ha osservato che XCSSET period stato aggiornato per esfiltrarsi da varie app come Google Chrome, Telegram, Evernote, Opera, Skype, WeChat e App Apple First Occasion come contatti e be aware.
Un altro rapporto di JAMF nello stesso periodo rivelato La capacità del malware di sfruttare CVE-2021-30713, un bug di bypass del framework di trasparenza, consenso e controllo (TCC), come zero giorni per prendere screenshot del desktop della vittima senza richiedere autorizzazioni aggiuntive.
Poi, più di un anno dopo, lo period Aggiornato di nuovo Per aggiungere supporto per MacOS Monterey. Al momento della stesura, le origini del malware rimangono sconosciute.
Le ultime scoperte di Microsoft Mark la prima grande revisione dal 2022, utilizzando metodi di offuscamento migliorati e meccanismi di persistenza che mirano a sforzi di analisi sfidanti e garantendo che il malware venga lanciato ogni volta che viene avviata una nuova sessione di shell.
Un altro modo nuovo XCSSET imposta la persistenza implica il obtain di un’utilità Dockutil firmata da un server di comando e controllo per gestire gli elementi dock.
“Il malware crea quindi un’applicazione di lancio falsa e sostituisce la voce percorso di lancio legittimo nel dock con questo falso”, ha detto Microsoft. “Ciò garantisce che ogni volta che il lancio viene iniziato dal dock, vengano eseguiti sia il legittimo launchpad che il payload dannoso.”
