Компания Microsoft нашла новую версию вредоносной программы XCSSET для macOS. По данным Microsoft Threat Intelligence, это первое обновление XCSSET с начала 2022 года. Новая версия имеет улучшенную маскировку, обновленные механизмы закрепления в системе и новые методы заражения.
XCSSET — это сложная вредоносная программа, которая заражает проекты Apple Xcode. Она была обнаружена впервые в 2020 году и затем адаптирована к новым версиям macOS и чипам Apple M1. Злоумышленники использовали её для кражи данных из браузеров, мессенджеров и приложений Apple, таких как Заметки и Контакты. В 2021 году уязвимость CVE-2021-30713 позволила XCSSET делать скриншоты экрана без разрешения.
Обновленная версия XCSSET теперь использует сложные методы шифрования и закрепления в системе, чтобы сделать анализ сложнее и автоматически запускаться при каждом новом сеансе работы в терминале. Один из методов закрепления включает загрузку утилиты dockutil с серверов злоумышленников для управления элементами дока macOS. Потом вредонос создает фальшивое приложение Launchpad и меняет его путь в доке, чтобы запускать зловредный код вместо оригинального Launchpad.
Несмотря на то, что XCSSET наблюдается уже много лет, его происхождение остается неизвестным. Новая версия показывает, что злоумышленники продолжают адаптировать вредоносное ПО под современные системы безопасности Apple, используя более изощренные методы атаки.
