微软预警:新型XCSSET恶意软件“魔爪”伸向苹果开发项目
近期,微软发出警示,长期肆虐的XCSSET恶意软件再度进化,出现了一种全新的macOS变种。该变种在维持对开发者持续攻击的同时,进一步拓展了其恶意手段的范围。
微软位于雷德蒙德的威胁研究团队指出,XCSSET恶意软件自2020年起便开始在开发者群体中传播。其最新版本依旧通过附着于Xcode项目来实现扩散。Xcode作为苹果公司推出的一套集成开发环境,专为在苹果设备上开发应用程序而设计,涵盖了代码编辑、编译、调试等一系列开发工具。然而,如今这一恶意软件新增了多种功能,给开发者带来了更为复杂的威胁。
事实上,这并非XCSSET恶意软件首次“死灰复燃”。早在今年2月,微软就曾发出警告,当时该恶意软件已借助被篡改的开发者项目来传播恶意负载。如今,其背后的犯罪团伙进一步升级了攻击手段,构建了更为隐蔽的持久化机制,采用了更多的代码混淆技术,并且对窃取加密货币表现出更强烈的兴趣。
从感染链来看,虽然整体仍分为四个阶段,最终执行各种子模块,但最后一个阶段经过了重新设计。其中,一个针对Firefox浏览器的模块尤为引人注目。该模块利用了经过重新设计的开源工具HackBrowserData,通过技术手段绕过浏览器的安全防护,窃取用户存储在浏览器中的各类信息,如登录凭证、浏览历史等。此外,还有一个新出现的剪贴板劫持程序。在用户复制文本时,该程序会实时监控剪贴板内容,一旦检测到加密货币钱包地址,便会将其替换为攻击者预先设定的地址,从而在用户进行加密货币交易时,将资金转移到攻击者的钱包中。
微软的报告还显示,该恶意软件会安装一个LaunchDaemon。LaunchDaemon是macOS系统中的一种后台服务,能够在系统启动时自动运行。此恶意软件利用这一特性,执行一个名为.root的隐藏负载,该负载可能包含更多的恶意代码,用于进一步控制受感染的系统。同时,恶意软件还会在/tmp目录下放置一个伪造的System Settings.app文件。/tmp目录是macOS系统中用于存储临时文件的目录,普通用户通常不会对该目录下的文件进行过多关注。通过放置伪造文件,恶意软件能够更好地掩盖其活动痕迹,避免被用户或安全软件发现。
在代码混淆方面,作者采用了更多层次的手段。例如,使用仅可运行的编译版AppleScript。AppleScript是macOS系统中的一种脚本语言,通常用于自动化任务。仅可运行的编译版AppleScript经过特殊处理,使得安全软件难以分析其代码逻辑,从而增加了检测和防范的难度。此外,该恶意软件还试图通过禁用macOS自动更新和快速安全响应来削弱系统的防御机制。macOS自动更新能够及时为系统安装安全补丁,修复已知漏洞;快速安全响应则可以在发现安全威胁时迅速采取措施进行防范。禁用这两项功能后,系统更容易受到其他恶意软件的攻击,为攻击者创造了更有利的条件。微软分析认为,这些调整表明操作人员意图尽可能长时间地不被发现,同时扩大其获利的机会。
近期,网络安全领域还发生了其他一些重要事件。LockBit的新变种被认为“迄今为止最危险的”,它能够攻击Windows、Linux和VMware ESXi等多种操作系统和虚拟化平台。沃尔沃北美公司确认其IT供应商遭受勒索软件攻击后,员工数据被盗。英美安全机构要求紧急修复思科防火墙漏洞,因为该漏洞已在野外被利用。朝鲜的Lazarus集团甚至将其恶意软件分享给IT工作诈骗者,进一步扩大了攻击范围。
对于开发者而言,XCSSET恶意软件的威胁途径并未改变。它仍然通过潜入Xcode项目来实施攻击。当开发者构建代码时,会在不知不觉中执行恶意负载。今年2月,研究人员就曾警告称,被篡改的代码仓库和共享项目已经成为恶意软件的传播工具。此次最新版本通过在项目设置中使用各种策略来逃避检测,例如修改项目配置文件、隐藏恶意代码等,使嵌入恶意软件变得更加容易。
微软强调,虽然到目前为止发现的攻击数量有限,但鉴于XCSSET多年来一直存在且不断进化,新的模块提醒人们,苹果的开发者生态系统仍然是一个热门攻击目标。该公司已及时将其发现告知苹果,并与GitHub合作移除了受XCSSET影响的代码仓库,以减少恶意软件的传播。
为了应对这一威胁,微软敦促开发者采取以下安全措施。首先,在运行构建之前仔细检查项目。这包括查看项目的源代码、配置文件等,确保没有可疑的代码或修改。因为恶意软件可能会隐藏在看似正常的代码中,通过仔细检查可以及时发现并排除潜在威胁。其次,保持macOS系统更新。如前文所述,macOS自动更新能够及时为系统安装安全补丁,修复已知漏洞。及时更新系统可以有效降低系统受到攻击的风险。最后,使用能够检测可疑守护进程和属性列表修改的终端安全工具。守护进程是macOS系统中在后台运行的程序,属性列表则用于存储应用程序的配置信息。恶意软件可能会通过修改守护进程或属性列表来实现持久化感染或窃取信息。终端安全工具能够实时监控系统的运行状态,检测并阻止这些可疑行为。微软深知这些安全建议的重要性,因为近年来它自己也遭受过不少恶意软件和国家支持的入侵,积累了丰富的应对经验。
XCSSET可能没有LockBit或其他勒索软件团伙那样广为人知,但它表现出了惊人的韧性。对于任何使用Xcode进行开发工作的人来说,必须明确认识到:不要轻易假设一个项目是安全的。你运行的下一个构建可能包含的恶意代码,会做的远比你想象的要多,可能会窃取你的数据、破坏你的系统,给你带来严重的损失。
