近日，一種新型 XCSSET macOS 模塊化惡意軟件變體在攻擊活動中現身，其目標是竊取用戶的敏感信息，涵蓋數字錢包數據以及合法 Notes 應用程序中的數據。

這種惡意軟件通常借助受感染的 Xcode 項目進行傳播，至少已存在五年之久，每次更新都堪稱 XCSSET發展歷程中的一個里程碑。此次的改進是自2022年以來首次被發現。

微軟威脅情報團隊在有限的攻擊活動中識別出了這一最新變體，并指出與過往的 XCSSET 變體相比，新變體具備更強的代碼混淆能力、更好的持久化能力以及全新的感染策略。

關鍵特性剖析

1.隱匿性強化

新變體采用動態迭代的Base64 + xxd雙重編碼技術，這種技術能夠實現多層級的代碼混淆。通過不斷變化的編碼迭代次數，使得安全工具難以對其進行有效的解析和追蹤。

同時，對關鍵模塊名稱進行加密處理，即使逆向分析專家試圖拆解其代碼結構，也會因為這些加密的模塊名稱而倍感棘手，顯著增加了逆向分析的難度，讓惡意代碼在系統中能夠更長久地潛伏。

2.持久化創新

在實現持久化駐留系統方面，新變體采用了兩種創新方案。

• zshrc 方案：新變體創建名為～/.zshrc_aliases 的文件，并將惡意負載巧妙植入其中。然后通過修改.zshrc 配置文件，實現了會話級自啟動。這意味著只要用戶開啟新的 shell 會話，惡意文件就會自動運行，長期潛伏在系統中，持續收集信息或執行其他惡意指令。
• Dock 劫持方案：從攻擊者的命令與控制（C2）服務器下載經過簽名的 dockutil 工具，利用其合法身份繞過部分系統檢測。通過偽造 Launchpad 應用路徑，精心設計了 “雙觸發” 機制，當用戶啟動正版應用時，惡意負載也會同時被執行，實現了神不知鬼不覺的惡意操作。

3. Xcode感染策略進化

在針對 Xcode 項目的感染策略上，新變體也有了重大進化。

濫用構建參數：利用 TARGET、RULE、FORCED_STRATEGY 等構建參數，將惡意代碼注入到 Xcode 項目中。這些參數在正常的開發過程中有著重要作用，但被惡意軟件利用后，就成為了惡意代碼進入項目的 “綠色通道”。

設備定向滲透：通過篡改 TARGET_DEVICE_FAMILY 構建設置，實現對特定設備的精準部署。這使得攻擊者可以有針對性地對某些設備類型進行攻擊，提高攻擊效率和成功率。

XCSSET 并非首次展現其強大的攻擊能力，早在 2021 年 5 月，它就利用零日漏洞（漏洞編號 CVE - 2021 - 30713，蘋果已修復）發起攻擊。此次新變體的升級，再次印證其開發者具備持續突破系統防御的能力，不斷給網絡安全帶來新的挑戰。

Xcode項目與XCSSET攻擊范圍

Xcode 是蘋果的開發者工具集，其中包含集成開發環境（IDE），開發者能借助它創建、測試和發布適用于所有蘋果平臺的應用程序。Xcode 項目的創建方式靈活多樣，既可以從頭開始搭建，也能基于從各種代碼庫下載或克隆的資源來構建。

然而，這種開放性和靈活性也為 XCSSET 的操控者提供了可乘之機。他們通過針對這些項目，巧妙地擴大了攻擊目標范圍，從開發源頭就開始埋下惡意種子，一旦項目被使用，惡意軟件就可能隨之進入用戶系統。

XCSSET 擁有多個功能各異的模塊，這些模塊相互協作，能夠解析系統數據、收集各類敏感信息，并將這些信息偷偷泄露出去。其攻擊目標數據類型極為廣泛，涵蓋登錄信息、聊天應用程序和瀏覽器數據、Notes 應用程序數據、數字錢包數據、系統信息以及文件等，幾乎涉及用戶在系統中的方方面面數據。

微軟給出的安全建議

鑒于 XCSSET 惡意軟件的威脅，微軟團隊建議：

1. 注重開發環境安全

• 僅從官方倉庫獲取Xcode項目資源
• 建立代碼審計機制，重點檢查構建參數異常配置

2. 搭建終端防護策略

• 監控.zshrc等配置文件異常修改
• 部署EDR解決方案檢測隱蔽進程鏈

參考鏈接：https://www.bleepingcomputer.com/news/security/microsoft-spots-xcsset-macos-malware-variant-used-for-crypto-theft/