هشدار Microsoft درباره گونه جدید بدافزار XCSSET در macOS

سجاد تیموری 6 ساعت پیشآخرین بروزرسانی: مهر ۴, ۱۴۰۴

۰ 0 زمان تقریبی مطالعه 2 دقیقه

هشدار Microsoft درباره گونه جدید بدافزار XCSSET در macOS

Microsoft Threat Intelligence گزارش داد که یک گونهٔ جدید از بدافزار XCSSET در macOS شناسایی شده که در حملات محدود مورد استفاده قرار گرفته و چندین قابلیت جدید از جمله هدف‌گیری پیشرفته مرورگرها، clipboard hijacking و مکانیزم‌های بهبود‌یافتهٔ persistence را در خود جای داده است.

XCSSET یک بدافزار ماژولار در macOS است که به‌عنوان infostealer و cryptocurrency stealer عمل می‌کند و اقدام به سرقت Notes، کیف‌پول‌های رمزارزی و داده‌های مرورگر از دستگاه‌های آلوده می‌نماید. این بدافزار از طریق جست‌وجو و آلوده‌سازی سایر پروژه‌های Xcode موجود بر روی دستگاه گسترش می‌یابد، به‌طوری که با build شدن پروژه، بدافزار نیز اجرا می‌شود.

به گفتهٔ Microsoft:
«بدافزار XCSSET به‌گونه‌ای طراحی شده که پروژه‌های Xcode –که عموماً توسط توسعه‌دهندگان نرم‌افزار استفاده می‌شود– را آلوده کند و در زمان build شدن پروژه اجرا شود. ما برآورد می‌کنیم که این شیوهٔ آلودگی و گسترش بر مبنای اشتراک‌گذاری فایل‌های پروژه میان توسعه‌دهندگانی است که بر روی اپلیکیشن‌های مرتبط با Apple یا macOS کار می‌کنند.»

پژوهشگران در بررسی گونهٔ جدید مشاهده‌شده توسط Microsoft چند تغییر عمده را گزارش کرده‌اند:

این گونه تلاش می‌کند داده‌های مرورگر Firefox را با استفاده از یک نسخهٔ دستکاری‌شده از ابزار HackBrowserData (ابزار متن‌باز برای decrypt و export داده‌های مرورگر از data stores) به سرقت ببرد.
نسخهٔ جدید همچنین شامل به‌روزرسانی در مؤلفهٔ clipboard hijacking است که clipboard در macOS را برای regular expression pattern‌های مرتبط با آدرس‌های رمزارزی پایش می‌کند.
در صورت شناسایی یک آدرس رمزارزی، آن را با آدرس مهاجم جایگزین می‌کند. در نتیجه، هرگونه تراکنش رمزارزی انجام‌شده توسط کاربر در دستگاه آلوده، به کیف‌پول مهاجم منتقل خواهد شد.

این بدافزار همچنین شامل روش‌های جدید persistence است؛ از جمله ایجاد ورودی‌های LaunchDaemon که یک payload در مسیر ~/.root را اجرا می‌کنند و یک نسخهٔ جعلی از System Settings.app را در مسیر /tmp ایجاد می‌نمایند تا فعالیت‌های خود را پنهان سازند.

گونهٔ جدید هنوز به‌صورت گسترده مشاهده نشده و Microsoft گزارش داده که تنها در حملات محدود مورد استفاده قرار گرفته است. پژوهشگران همچنین یافته‌های خود را با Apple به اشتراک گذاشته و در حال همکاری با GitHub برای حذف repositoryهای مرتبط هستند.

برای محافظت در برابر این نوع بدافزار، توصیه می‌شود که macOS و اپلیکیشن‌ها همواره به‌روز نگه داشته شوند؛ به‌ویژه با توجه به اینکه XCSSET پیش‌تر از آسیب‌پذیری‌ها –از جمله zero-dayها– سوءاستفاده کرده است.

Microsoft همچنین توصیه می‌کند که توسعه‌دهندگان پیش از build کردن پروژه‌های Xcode، آن‌ها را به‌دقت بررسی کنند؛ به‌خصوص زمانی که پروژه‌ها توسط سایرین به اشتراک گذاشته شده باشند.