Une nouvelle variante du malware modulaire XCSSET macOS est apparue dans des attaques qui ciblent les informations sensibles des utilisateurs, y compris les portefeuilles numériques et les données de l’application Notes légitime.
Le malware est généralement distribué via des projets Xcode infectés. Il existe depuis au moins cinq ans et chaque mise à jour représente une étape importante dans le développement de XCSSET. Les améliorations actuelles sont les premières observées depuis 2022.
L’équipe de renseignements sur les menaces de Microsoft a identifié la dernière variante d’attaques limitées et affirme que, par rapport aux variantes XCSSET précédentes, la nouvelle offre un obscurcissement de code amélioré, une meilleure persistance et de nouvelles stratégies d’infection.
En mai 2021, Apple a corrigé une vulnérabilité qui était activement exploitée comme un jour zéro par XCSSET, une indication des capacités du développeur de logiciels malveillants.
Nouvelle variante XCSSET à l’état sauvage
Microsoft met en garde aujourd’hui contre de nouvelles attaques qui utilisent une variante du logiciel malveillant XCSSET macOS avec des améliorations à tous les niveaux. Certaines des modifications clés que les chercheurs ont repérées incluent:
- Nouvel obscurcissement grâce à des techniques d’encodage qui reposent à la fois sur les méthodes Base64 et xxd (hexdump) dont le nombre d’itérations varie. Les noms des modules dans le code sont également obscurcis, ce qui rend plus difficile l’analyse de leur intention
- Deux techniques de persistance (zshrc et dock)
- Nouvelles méthodes d’infection Xcode: le logiciel malveillant utilise les options TARGET, RULE ou FORCED_STRATEGY pour placer la charge utile dans le projet Xcode. Il peut également insérer la charge utile dans la clé TARGET_DEVICE_FAMILY dans les paramètres de construction et l’exécuter ultérieurement
Pour la méthode de persistance zshrc, la nouvelle variante XCSSET crée un fichier nommé ~/.zshrc_aliases qui contient la charge utile et ajoute une commande dans le ~/.fichier zshrc. De cette façon, le fichier créé se lance chaque fois qu’une nouvelle session shell démarre.
Pour la méthode dock, un outil dockutil signé est téléchargé à partir du serveur de commande et de contrôle (C2) de l’attaquant pour gérer les éléments du dock.
XCSSET crée ensuite une application de tableau de bord malveillante avec la charge utile et modifie le chemin de l’application légitime pour pointer vers la fausse. Par conséquent, lorsque le Launchpad du dock démarre, l’application authentique et la charge utile malveillante sont exécutées.
Xcode est l’ensemble d’outils de développement d’Apple fourni avec un environnement de développement intégré (IDE) et permet de créer, tester et distribuer des applications pour toutes les plates-formes Apple.
Un projet Xcode peut être créé à partir de zéro ou construit à partir de ressources téléchargées/clonées à partir de divers référentiels. En les ciblant, l’opérateur de XCSSET peut atteindre un plus grand nombre de victimes.
XCSSET dispose de plusieurs modules pour analyser les données sur le système, collecter des informations sensibles et les exfiltrer. Le type de données ciblées comprend les connexions, les informations des applications de chat et des navigateurs, l’application Notes, les portefeuilles numériques, les informations système et les fichiers.
Microsoft recommande d’inspecter et de vérifier les projets Xcode et les bases de code clonés à partir de référentiels non officiels, car ceux-ci peuvent masquer des logiciels malveillants obscurcis ou des portes dérobées.