- Microsoft Threat Intelligence hat eine neue Variante der XCSSET-Malware für macOS entdeckt, die stark erweiterte Tarn- und Infektionsmethoden nutzt. Diese Malware zielt auf Apple-Geräte ab und kann digitale Geldbörsen und Systeminformationen stehlen. Die XCSSET-Malware infiziert Xcode-Projekte und nutzt die offizielle Entwicklungsumgebung von Apple, um sich zu verbreiten. Neue Techniken wie „zshrc“ und „dock“ helfen der Malware, sich innerhalb von Xcode zu tarnen und persistente Infektionen sicherzustellen. Microsoft beobachtet derzeit nur begrenzte Angriffe, teilt aber Informationen, um Schutzmaßnahmen zu ermöglichen.
Microsoft Threat Intelligence hat jüngst eine erneute Aktivität einer lange inaktiven Malware für macOS beobachtet. Diese neue Variante zielt auf eine breite Palette von Apple-Geräten ab. Die Forscher berichteten, dass es sich um eine weiterentwickelte Version der XCSSET-Malware handelt, die ursprünglich im Jahr 2022 auftauchte. Das aufgerüstete Schadprogramm ist mit verbesserten Verschleierungsmethoden, aktualisierten Persistenzmechanismen und neuen Infektionsstrategien ausgestattet.
Modulare Bedrohungen in der digitalen Sphäre
Microsoft hat diese Variante von XCSSET entdeckt, die in der Lage ist, Benutzer durch das Infizieren von Xcode-Projekten anzugreifen. Obwohl diese neue Variante zurzeit nur in begrenzten Angriffen zu beobachten ist, teilt Microsoft die Informationen, um Remedialmaßnahmen zu ermöglichen. Die XCSSET-Malware fungiert im Wesentlichen als Infostealer. Sie kann digitale Geldbörsen attackieren, Daten aus der Apple Notes-App sammeln und Systeminformationen sowie Dateien erfassen.
Die Gefährlichkeit steigt, da die Malware infizierte Projekte in Apples Xcode-Plattform nutzt. Xcode ist Apples offizielles integriertes Entwicklungsumfeld für die Erstellung von Apps für operative Systeme wie macOS, iOS, iPadOS, watchOS und tvOS. Es umfasst einen Code-Editor, einen Debugger, den Interface Builder und Werkzeuge für das Testen und Bereitstellen von Apps.
Strategien der Verschleierung und Infektion
Die verbesserte Variante von XCSSET implementiert Prozesse, die eine stärkere Tarnung innerhalb von Xcode erlauben. Dazu werden zwei Techniken genutzt: „zshrc“ und „dock“. Ersteres erlaubt der Malware, eine Datei namens ~/.zshrc_aliases zu erstellen, die die infizierten Daten enthält. Anschließend wird ein Befehl in der ~/.zshrc-Datei hinzugefügt, welcher das Laden der infizierten Datei bei jedem neuen Shell-Start initiiert. Dies garantiert die fortwährende Verbreitung der Malware mit zusätzlichen Shell-Sitzungen.
Der zweite Angriff lädt über einen Command-and-Control-Server ein signiertes Tool namens „dockutil“, das Dock-Elemente verwalten kann. Daraufhin erstellt die Malware eine gefälschte Launchpad-App, um den Pfad zur echten Launchpad-App im Gerätedock zu ersetzen. Wenn der Benutzer auf einem infizierten Gerät Launchpad startet, werden sowohl die echte als auch die Malware-Version von Launchpad ausgeführt, wodurch XCSSET effektiv verbreitet wird.
Microsoft hat angegeben, dass diese neue Malware-Variante bisher nur in begrenzten Angriffen gesichtet wurde, teilt jedoch Informationen, um Nutzern und Organisationen die Möglichkeit zu geben, präventive Schutzmaßnamen zu treffen.