Microsoft, bilinen bir Apple macOS kötü amaçlı yazılımının yeni bir varyantını keşfettiğini söyledi. XCSSET Vahşi doğada sınırlı saldırıların bir parçası olarak.
Microsoft Tehdit İstihbarat Ekibi, “2022’den beri bilinen ilk varyantı, bu en son XCSSET kötü amaçlı yazılım, gelişmiş gizleme yöntemleri, güncellenmiş kalıcılık mekanizmaları ve yeni enfeksiyon stratejileri içeriyor,” söz konusu X’te paylaşılan bir yazıda.
“Bu gelişmiş özellikler, bu kötü amaçlı yazılım ailesinin dijital cüzdanları hedefleme, Notlar uygulamasından veri toplama ve sistem bilgilerini ve dosyalarını açığa çıkarma gibi daha önce bilinen özelliklerine katkıda bulunur.”
XCSSET, Apple Xcode projelerini enfekte ederek kullanıcıları hedeflediği bilinen sofistike bir modüler macOS kötü amaçlı yazılımdır. İlk olarak Trend Micro tarafından Ağustos 2020’de belgelendi.
Kötü amaçlı yazılımın sonraki yinelemelerinin, MacOS’un ve Apple’ın kendi M1 yonga setlerinin daha yeni sürümlerinden ödün vermeye uyum sağladığı bulunmuştur. 2011’in ortalarında, siber güvenlik şirketi, XCSSET’in Google Chrome, Telegram, Evernote, Opera, Skype, WeChat ve Kişiler ve Notlar gibi Apple birinci taraf uygulamaları gibi çeşitli uygulamalardan verileri dışarı atmak için güncellendiğini belirtti.
JAMF’den aynı zamanda başka bir rapor, kötü amaçlı yazılımların CVE-2021-30713’ten yararlanma yeteneğini, bir şeffaflık, rıza ve kontrol (TCC) çerçeve baypas hatasını, ek izinler gerektirmeden kurbanın masaüstünün ekran görüntülerini almak için sıfır gün olarak ortaya çıkardı. .
Daha sonra, bir yıl sonra MacOS Monterey için destek eklemek için tekrar güncellendi. Yazma olarak, kötü amaçlı yazılımın kökenleri bilinmemektedir.
Microsoft’un son bulguları, 2022’den bu yana ilk büyük revizyonu, analiz çabalarını zorlamayı ve kötü amaçlı yazılımın her yeni kabuk oturumu başlatıldığında başlatılmasını amaçlayan gelişmiş gizleme yöntemleri ve kalıcılık mekanizmalarını kullanarak işaretliyor.
XCSSET’in bir başka yeni tarzı, kalıcılığı ayarlar. Dock öğelerini yönetmek için bir komut ve kontrol sunucusundan imzalı bir dockutil yardımcı programı indirmeyi gerektirir.
Microsoft, “Kötü amaçlı yazılım daha sonra sahte bir Launchpad uygulaması oluşturur ve meşru Launchpad’in rıhtımdaki yol girişini bu sahte olanla değiştirir.” Dedi. Diyerek şöyle devam etti: “Bu, Launchpad’in rıhtımdan her başlatıldığında, hem meşru lansman rampasının hem de kötü amaçlı yükün yürütülmesini sağlar.”
