Microsoft обнаружила обновленный вариант вредоносного ПО для macOS
Microsoft обнаружила ранее бездействовавшее вредоносное ПО для macOS, которое снова стало активным в новом варианте, нацеленном на устройства Apple всех типов.
Microsoft Threat Intelligence поделилась информацией о вредоносном ПО в сообщении на X, указав, что это новая версия XCSSET, созданная в 2022 году. Эксперты по безопасности объяснили, что обновленное вредоносное ПО имеет «улучшенные методы запутывания, обновленные механизмы сохранения и новые стратегии заражения».
Microsoft Threat Intelligence обнаружила в дикой природе новый вариант XCSSET — сложного модульного вредоносного ПО для macOS, которое нацелено на пользователей путем заражения проектов Xcode. Хотя в настоящее время мы видим этот новый вариант XCSSET только в ограниченных атаках, мы делимся этой информацией… pic.twitter.com/oWfsIKxBzB
— Microsoft Threat Intelligence (@MsftSecIntel) 17 февраля 2025 г.
TechRadar отметил, что вредоносное ПО XCSSET по сути является информационным похитителем, способным атаковать цифровые кошельки, собирать данные из приложения Apple Notes, а также собирать системную информацию и файлы.
Вредоносная программа особенно опасна, поскольку для проникновения на устройства она использует зараженные проекты на платформе Apple Xcode. Xcode — это официальная интегрированная среда разработки (IDE), которую Apple предоставляет для создания приложений для своих различных операционных систем, включая macOS, iOS, iPadOS, watchOS и tvOS. Среда включает в себя редактор кода, отладчик, Interface Builder и инструменты для тестирования и развертывания приложений, добавляется в публикации.
Как уже говорилось, обновленный вариант XCSSET включает в себя процессы, позволяющие вредоносному ПО лучше скрывать себя внутри Xcode. Для этого он использует два метода: «zshrc» и «dock». Первая атака позволяет вредоносному ПО создать файл ~/.zshrc_aliases, содержащий зараженные данные. Затем он добавляет в файл ~/.zshrc команду, которая будет предлагать зараженному файлу запускаться каждый раз при запуске нового сеанса оболочки. Это гарантирует, что вредоносное ПО продолжит распространяться с помощью дополнительных сеансов оболочки.
Во время второй атаки вредоносное ПО загружает «подписанный инструмент Dockutil с сервера управления и контроля для управления элементами док-станции», — пояснили в Microsoft. После этого он создает поддельное приложение Launchpad, чтобы заменить запись пути к реальному приложению Launchpad на док-станции устройства. Когда пользователь запускает Launchpad на зараженном устройстве, запускаются как фактическое приложение Launchpad, так и версия вредоносного ПО, эффективно распространяя XCSSET.
В Microsoft Threat Intelligence пояснили, что они видели новый вариант вредоносного ПО только «в ограниченных атаках», и они делятся информацией об угрозе, чтобы пользователи и организации могли принять меры предосторожности.