Виявлено нову версію модульної малварі XCSSET для macOS. Шкідник викрадає конфіденційну інформацію користувачів, включно з даними цифрових гаманців та інформацією з додатка Notes. Розробникам рекомендують зберігати пильність, оскільки основним вектором зараження є Xcode-проекти.

Фахівці Microsoft Threat Intelligence нагадують, що XCSSET активна вже близько п’яти років, і поточне оновлення є першим з 2022 року. Хоча можливості малварі загалом залишаються незмінними, нова версія вирізняється поліпшеною обфускацією коду, використовує нові техніки для встановлення стійкості та демонструє нові стратегії зараження.

Серед ключових змін дослідники перерахували:

-нову обфускацію за допомогою методів, що використовують не тільки Base64, а й xxd (hexdump), які різняться за кількістю ітерацій. Зазначається, що імена модулів у коді теж обфусковані, що додатково ускладнює аналіз;
-дві техніки для встановлення стійкості (zshrc і dock);
-нові методи зараження: шкідник використовує опції TARGET, RULE або FORCED_STRATEGY для розміщення корисного навантаження в Xcode-проектах. Також шкідник здатний впроваджувати корисне навантаження в ключ TARGET_DEVICE_FAMILY і запускати на більш пізньому етапі.

Експерти зазначають, що XCSSET, як і раніше, має безліч модулів для парсингу даних у системі, збору конфіденційної інформації та її крадіжки. Так, малварь цікавлять логіни, інформація з чат-додатків і браузерів, додатки Notes, дані цифрових гаманців, системна інформація та файли.

Microsoft рекомендує уважно перевіряти будь-які проєкти Xcode, клоновані з неофіційних репозиторіїв, оскільки ті можуть приховувати обфусцироване шкідливе ПЗ і бекдори.