Une nouvelle variante améliorée du MACOS malware XCSSET a été repérée «dans des attaques limitées» par les chercheurs à menace de Microsoft.
XCSSET MACOS Malware
XCSSET dans le vol d’informations et l’injection de porte dérobée ciblant les utilisateurs de Mac.
Il est généralement distribué via des projets Xcode infectés – une collection de fichiers, de paramètres et de configurations qui constituent une application ou un cadre développé en utilisant Code de xéEnvironnement de développement intégré officiel d’Apple (IDE) pour MacOS.
La menace existe depuis des années. Les variantes passées même utilisées vulnérabilités zéro-jour pour effectuer certaines de ses actions malveillantes.
La variante désormais repérée par Microsoft peut également collecter des données à partir de l’application Notes, des informations et des fichiers système exfiltrates et cible les portefeuilles numériques. Les méthodes d’obscurcissement améliorées rendent l’analyse des logiciels malveillants plus difficiles.
Nouvelle infection, techniques de persistance
XCSset est un logiciel malveillant qui est apparemment destiné à un sous-ensemble spécifique d’utilisateurs de MacOS: développeurs de logiciels.
“La méthode de distribution utilisée ne peut être décrite que comme intelligente”, a déclaré Trend Micro Researchers lorsqu’ils ont découvert XCSset pour la première fois.
«Les développeurs affectés distribueront involontairement le Troie malveillant à leurs utilisateurs sous la forme des projets Xcode compromis, et des méthodes pour vérifier le fichier distribué (comme la vérification des hachages) ne serait pas utile car les développeurs ne savaient pas qu’ils distribuent des fichiers malveillants. “
La nouvelle variante sportive de nouvelles techniques d’infection, chercheurs Microsoft découvert.
“[It] Présentation de nouvelles méthodes pour savoir où la charge utile est placée dans un projet Xcode cible. La méthode est choisie parmi l’une des options suivantes: cible, règle ou forced_strategy. Une méthode supplémentaire consiste à placer la charge utile à l’intérieur de la touche cible_device_family dans les paramètres de construction et à l’exécuter à une dernière phase. »
Le malware utilise également de nouveaux mécanismes de persistance:
- Il crée un fichier nommé ~ / .zshrc_aliasesqui contient la charge utile et ajoute une commande qui la lancera à chaque fois qu’une nouvelle session Shell est lancée
- Il télécharge un signé Dockutil L’outil d’un serveur de commande et de contrôle pour gérer les éléments du quai, crée une fausse application LaunchPad et remplace l’entrée de chemin de lancement légitime dans le quai avec la fausse. Le résultat? Chaque fois que le Launchpad est démarré à partir du quai, le Launchpad légitime et la charge utile malveillante sont exécutés.
Les développeurs doivent être prudents lors du téléchargement ou du clonage des projets Xcode à partir de référentiels en ligne, de sites Web et de communautés de développeurs. Même les projets fournis par une personne en qui vous avez confiance doivent être vérifiés, car il pourrait ne pas savoir que le projet a été «infecté».
#malware #des #informations #sur #les #informations #XCSSET #est #retour #ciblant #les #utilisateurs #les #développeurs #MacOS