Microsoft mengatakan telah menemukan varian baru dari malware Apple MacOS yang dikenal yang disebut Xcsset sebagai bagian dari serangan terbatas di alam liar.
“Varian pertama yang diketahui sejak 2022, malware XCSSET terbaru ini menampilkan metode pengayaan yang ditingkatkan, mekanisme kegigihan yang diperbarui, dan strategi infeksi baru,” kata tim Microsoft Ancaman Intelijen dalam pasca yang dibagikan pada X.
“Fitur -fitur yang disempurnakan ini menambah kemampuan keluarga malware yang sebelumnya diketahui, seperti menargetkan dompet digital, mengumpulkan data dari aplikasi Notes, dan informasi dan file sistem exfiltrating.”
XCSSET adalah malware macOS modular yang canggih yang diketahui menargetkan pengguna dengan menginfeksi proyek Xcode Apple. Ini pertama kali didokumentasikan oleh Trend Micro pada Agustus 2020.
Iterasi selanjutnya dari malware telah ditemukan beradaptasi dengan kompromi versi macOS yang lebih baru serta chipset M1 Apple sendiri. Pada pertengahan 2021, perusahaan cybersecurity mencatat bahwa XCSSET telah diperbarui ke data exfiltrate dari berbagai aplikasi seperti Google Chrome, Telegram, Evernote, Opera, Skype, WeChat, dan aplikasi pihak pertama Apple seperti kontak dan catatan.
Laporan lain dari JAMF sekitar waktu yang sama mengungkapkan kemampuan malware untuk mengeksploitasi CVE-2021-30713, transparansi, persetujuan, dan bug bypass kerangka kerja Transparansi, Persetujuan, dan Kontrol (TCC), sebagai nol hari untuk mengambil tangkapan layar desktop korban tanpa memerlukan izin tambahan tambahan tambahan tambahan tambahan .
Kemudian, lebih dari setahun kemudian, diperbarui lagi untuk menambah dukungan untuk MacOS Monterey. Pada saat menulis, asal -usul malware masih belum diketahui.
Temuan terbaru dari Microsoft menandai revisi besar pertama sejak 2022, menggunakan metode kebingungan yang lebih baik dan mekanisme kegigihan yang ditujukan untuk menantang upaya analisis dan memastikan bahwa malware diluncurkan setiap kali sesi shell baru dimulai.
Novel Lainnya XCSSET mengatur persistensi memerlukan mengunduh utilitas dockutil yang ditandatangani dari server perintah-dan-kontrol untuk mengelola item dock.
“Malware kemudian membuat aplikasi LaunchPad palsu dan menggantikan entri jalur Launchpad yang sah di dermaga dengan yang palsu ini,” kata Microsoft. “Ini memastikan bahwa setiap kali launchpad dimulai dari dermaga, baik launchpad yang sah dan muatan jahat dieksekusi.”
