微软威胁情报团队发现新型XCSSET macOS恶意软件变种
微软威胁情报研究人员发现了一个新版本的macOS恶意软件XCSSET,该变种已被用于有限范围的攻击活动中。趋势科技在2020年首次发现该恶意软件,当时它通过Xcode项目传播,并利用两个零日漏洞从目标系统窃取敏感信息及发动勒索软件攻击。
新变种的技术特征
新版XCSSET具备窃取Firefox数据与劫持剪贴板的能力。它采用加密和混淆技术规避检测,并秘密运行AppleScript脚本。该恶意软件还通过_LaunchDaemon_条目实现了额外的持久化机制。
微软报告指出:"该变种包含一个专门监控剪贴板的子模块,并引用包含各类数字钱包地址正则表达式的配置文件。当检测到匹配模式时,XCSSET能够将剪贴板内容替换为攻击者预设的钱包地址。"
功能扩展与数据窃取
相比旧版本,更新后的攻击阶段会下载并运行多个新模块以扩展功能。报告进一步说明:"新变种增加了专门窃取Firefox存储数据的信息窃取模块。首先调用runMe()函数从C2服务器下载一个Mach-O FAT二进制文件,该文件负责执行所有信息窃取操作。这个二进制文件似乎是GitHub项目HackBrowserData的修改版本,能够解密并导出浏览器存储的数据,包括密码、历史记录、信用卡信息和Cookies等几乎所有主流浏览器的关键数据。"
四阶段感染链分析
新版XCSSET采用四阶段感染链,前三个阶段与先前变种一致。微软详细披露了第四阶段,包含_boot()_函数及其相关调用,用于下载和运行子模块。
核心功能模块解析
新变种包含多个针对性功能模块:
- vexyeqj(信息窃取) :下载运行编译后的AppleScript(
bnk),解密C2配置(AES加密),检查并窃取剪贴板数据,可替换为攻击者钱包地址 - bnk(有效载荷):仅执行型AppleScript,收集序列号/用户信息,验证/过滤剪贴板内容,加密数据并发送至C2服务器
- neq_cdyd_ilvcmwx(文件窃取):从C2获取并运行额外AppleScript以窃取文件
- xmyyeqjx(LaunchDaemon持久化) :创建
~/.root目录,禁用macOS自动/快速更新,构建虚假系统设置应用,写入com.google.*LaunchDaemon plist文件,设置root权限并加载 - jey(混淆/持久化):基于shell的有效载荷解密执行,采用增强型混淆技术
- iewmilh_cdyd(Firefox窃取):下载Mach-O二进制文件(修改版HackBrowserData)以导出Firefox密码、Cookies、信用卡数据,并上传压缩结果
防御建议
为应对此威胁,建议采取以下防护措施:
- 及时更新操作系统和应用程序,立即应用安全补丁
- 仔细检查代码仓库中的Xcode项目,避免使用受感染代码
- 粘贴前验证剪贴板内容,防止劫持攻击
- 使用Microsoft Edge等配备SmartScreen的浏览器拦截恶意网站
- 在Mac设备安装Microsoft Defender for Endpoint进行恶意软件检测与隔离
- 在Defender中启用云保护、自动样本提交、潜在不受欢迎程序(PUA)保护和网络保护功能,阻断威胁和不需要的应用程序,限制访问恶意域名
该恶意软件采用仅执行型AppleScript、AES加密的C2配置、针对加密货币诈骗的剪贴板劫持等技术,并通过临时文件清理和分块窃取数据来减少本地痕迹。