Вариант малвари, о котором Microsoft сообщила в понедельник , стал первым публично известным обновлением вредоносного ПО с 2022 года. Впервые о вредоносной программе стало известно в 2020 году, когда компания Trend Micro заявила, что она нацелена на разработчиков приложений, распространившись через общедоступный проект, написанный злоумышленником для Xcode - инструмента разработчика, который Apple предоставляет в свободный доступ. Вредоносная программа сразу же привлекла к себе внимание, поскольку использовала две уязвимости нулевого дня, что свидетельствует об изобретательности стоявших за атаками. 

В 2021 году XCSSET снова появился: сначала его использовали для взлома устройств разработчиков, а несколько месяцев спустя исследователи обнаружили, что он эксплуатирует новую на тот момент уязвимость нулевого дня.  

Microsoft заявила, что обнаружила новый вариант в ограниченных атаках. Улучшения в нем включают: Два ранее невиданных метода сохранения для обеспечения постоянного заражения скомпрометированных устройств. Первый новый метод создает файл с именем ~/.zshrc_aliases, содержащий вредоносную нагрузку. Затем новый вариант добавляет команду в файл ~/.zshrc, чтобы гарантировать, что созданный файл запускается каждый раз при инициировании нового сеанса оболочки. Второй метод создает поддельное приложение Launchpad и заменяет легитимную запись пути Launchpad на путь для вредоносного файла. С этого момента вредонос запускается каждый раз при запуске Launchpad из дока macOS. 

Первый метод позволяет злоумышленнику выбирать параметры, включая TARGET, RULE или FORCED_STRATEGY, когда XCSSET. Другой метод «включает размещение внутри ключа TARGET_DEVICE_FAMILY в настройках сборки и запуск ее на более поздней фазе», - заявила Microsoft. 

Усовершенствованные методы обфускации, в основном, в форме «значительно более рандомизированного подхода к генерации полезных нагрузок для заражения проектов Xcode». Повышенная рандомизация значительно усложняет обнаружение вредоносного кода. Новый вариант XCSSET также кодирует имена модулей которые он создает, в Base64, что снова затрудняет их обнаружение.

«Эти улучшенные функции дополняют ранее известные возможности этого семейства вредоносных программ, такие как нацеливание на цифровые кошельки, сбор данных из приложения Notes и извлечение системной информации и файлов», - пишет Microsoft.

 XCSSET содержит несколько модулей для сбора и извлечения конфиденциальных данных с зараженных устройств. Microsoft Defender for Endpoint на Mac теперь обнаруживает новый вариант XCSSET и, вероятно, другие механизмы обнаружения вредоносных программ вскоре это сделают, если уже не сделали. К сожалению, Microsoft не опубликовала хэши файлов или другие индикаторы компрометации, которые люди могут использовать для определения того, подверглись ли они атаке. Представитель Microsoft сказал, что эти индикаторы будут опубликованы в будущем сообщении в блоге. 

Чтобы не стать жертвой новых вариантов вредоноса, Microsoft заявила, что разработчикам следует проверять все проекты Xcode, загруженные или клонированные из репозиториев. Распространение этих проектов является обычным делом среди разработчиков. XCSSET эксплуатирует доверие разработчиков, распространяясь через вредоносные проекты, созданные злоумышленниками.