Selon les chercheurs de menace de Microsoft, une nouvelle variante des logiciels malveillants MacOS XCSSET est émergé, ciblant les utilisateurs de MacOS et les développeurs dans des attaques limitées. Cette version s’appuie sur ses prédécesseurs, connus pour voler des informations et injecter des délais.
Nouvelle variante de logiciels malware XCSSet MacOS cible les développeurs et les utilisateurs
Les logiciels malveillants XCSset se répandent généralement via des projets Xcode compromis, qui contiennent des fichiers et des paramètres utilisés dans le développement d’applications avec l’environnement de développement intégré d’Apple (IDE). Le malware constitue une menace persistante depuis plusieurs années, exploitant auparavant des vulnérabilités zéro-jours pour les activités malveillantes, telles que la prise de captures d’écran et le vol de cookies de navigateur. La variante actuelle peut également collecter des données à partir d’applications telles que des notes, des fichiers système exfiltrates et des portefeuilles numériques cibler tout en utilisant des techniques d’obscurcation améliorées qui compliquent l’analyse.
Le malware intègre désormais de nouvelles techniques d’infection et de persistance. Les chercheurs de Microsoft noté qu’il peut placer sa charge utile dans un projet Xcode en utilisant des méthodes telles que Target, Rule ou Forced_strategy. Il peut également insérer la charge utile dans la touche cible_device_family dans les paramètres de construction, en l’exécutant à une phase ultérieure. Les mécanismes de persistance incluent la création d’un fichier nommé ~ / .zshrc_aliases qui lance la charge utile à chaque nouvelle session de shell, et le téléchargement d’un outil Dockutil signé à partir d’un serveur de commandement et de contrôle pour gérer les éléments de la station d’accueil.
En créant une fausse application LaunchPad et en redirigeant le chemin de la dock de l’application légitime, XCSset garantit que les charges utiles réelles et malveillantes s’exécutent chaque fois que le lancement est lancé. Cette méthode distribuée permet aux logiciels malveillants d’affecter furtivement un éventail plus large de victimes.
Ce jeu Steam est plein de logiciels malveillants: l’avez-vous téléchargé?
Microsoft a rapporté que les résultats récents représentent la première mise à jour majeure de XCSSET depuis 2022, mettant en évidence des améliorations significatives de l’obscurcissement du code, des méthodes de persistance et des stratégies d’infection. Les chercheurs conseillent aux développeurs d’inspecter soigneusement et de vérifier tous les projets Xcode clonés à partir de sources non officielles, car des éléments malveillants peuvent être cachés.
XCSset est reconnu comme des logiciels malveillants modulaires sophistiqués ciblant les utilisateurs de MacOS en compromettant les projets Xcode. Initialement documenté en août 2020 par Trend Micro, XCSset s’est adapté pour compromettre les versions MacOS plus récentes et les chipsets M1 d’Apple. Des itérations antérieures avaient également démontré la capacité d’extraire des données de diverses applications, notamment Google Chrome, Telegram et les propres applications d’Apple comme les contacts et les notes.
À la mi-2021, les nouvelles fonctionnalités de XCSSET comprenaient l’exploitation d’une vulnérabilité zéro-jour, en particulier CVE-2021-30713, pour prendre des captures d’écran sans autorisation appropriée. Les origines de ce logiciel malveillant restent inconnues, les dernières conclusions mettant l’accent sur son évolution continue et les menaces persistantes qu’il pose aux utilisateurs de macOS.
Crédit d’image en vedette: Ales Nesetril / Unsplash
