Microsoft Threat Intelligence heeft een nieuwe variant van de XCSSET-malware ontdekt. Deze schadelijke software richt zich op macOS-gebruikers door Xcode-projecten te infecteren.
Een nieuwe variant van de XCSSET-malware voor MacOS doet de ronde. Dat ontdekte beveiligingsonderzoekers van Microsoft. Het is de eerste grote update voor de malware sinds 2022. Aanvallers zetten de tool niet op grote schaal in, maar richten zich vooral op ontwikkelaars. De nieuwe variant maakt gebruik van geavanceerde technieken voor obfuscatie, persistente aanwezigheid en infectiemethoden.
De recent ontdekte variant gebruikt een willekeurigere aanpak om payloads te genereren in geïnfecteerde Xcode-projecten. Waar eerdere varianten alleen xxd (hexdump) gebruikten voor codering, maakt de nieuwe versie ook gebruik van Base64. Bovendien zijn de modulenamen binnen de code versleuteld, wat analyse bemoeilijkt.
Twee methodes
De malware heeft twee methoden om zich te verankeren in het systeem: de zshrc-methode en de dock-methode. Bij de eerste methode wordt een payload toegevoegd aan een verborgen bestand (~/.zshrc_aliases) en wordt een opdracht aan het ~/.zshrc-bestand toegevoegd, waardoor het script bij elke nieuwe shell-sessie wordt uitgevoerd.
Bij de dock-methode downloadt de malware een ondertekende versie van het hulpprogramma dockutil van een command-and-controlserver. Hiermee wordt een valse versie van de macOS Launchpad-applicatie gemaakt. De malware wijzigt vervolgens de snelkoppeling in het dock, zodat bij het starten van Launchpad zowel de echte applicatie als de schadelijke payload wordt uitgevoerd.
De malware introduceert nieuwe technieken om de payload in een Xcode-project te plaatsen. Het kan gebruikmaken van methoden zoals TARGET, RULE of FORCED_STRATEGY. Een andere methode plaatst de payload in de TARGET_DEVICE_FAMILY-sleutel onder de buildinstellingen en voert deze later uit.
Microsoft meldt dat de nieuwe XCSSET-variant momenteel slechts in beperkte aanvallen wordt waargenomen. Toch wordt gebruikers en organisaties aangeraden voorzorgsmaatregelen te nemen om besmetting te voorkomen. Microsoft wijst er fijntjes en niet geheel toevallig op dat Defender voor Mac de schadelijke software succesvol detecteert.