Analitycy Microsoft Threat Intelligence opisali niedawno zaktualizowaną odsłonę znanego malware przeznaczonego na macOS – XCSSET. Najnowsza mutacja rozszerza zakres ataków poza Safari i Chrome, posiadając funkcje wymierzone w przeglądarkę Firefox, a także wzbogaca arsenał o moduł-clipper, który monitoruje zawartość schowka i zamienia adresy portfeli kryptowalutowych na te kontrolowane przez napastników. To nie jest tylko ewolucja kosmetyczna. Zmiany dotyczą zarówno sposobu uruchamiania komponentów (m.in. skompilowane AppleScript do wykonania w trybie run-only), jak i sposobów utrzymywania długotrwałej obecności na zainfekowanym hoście.
Jak malware trafia do projektów deweloperskich
XCSSET od lat znany jest z infekowania projektów Xcode – złośliwy kod w tle trafia do projektu i zostaje wykonany w trakcie kompilacji aplikacji, co pozwala mu ukryć się w legalnie wyglądającym oprogramowaniu. W nowej wersji czwarta faza infekcji wykorzystuje mechanizm, w którym aplikacja AppleScript uruchamia polecenie shellowe pobierające ostateczny skrypt odpowiedzialny za zbieranie informacji o systemie i uruchamianie modułów przez funkcję boot(). Dzięki zaawansowanej obfuskacji i szyfrowaniu kodu autorzy starają się ograniczyć możliwości analizy i wykrycia.
Kradzież danych z Firefoksa
Wariant ten wprowadza kilka nowych modułów: moduł informacji (vexyeqj, dawniej seizecj), obsługujący pobieranie i uruchamianie modułu bnk przez osascript, moduł do wykradania plików (neq_cdyd_ilvcmwx), moduł odpowiedzialny za ustawianie persistent LaunchDaemon (xmyyeqjx), moduł Git-based persistence (jey, dawniej jez) oraz moduł iewmilh_cdyd, który wykorzystuje zmodyfikowaną wersję narzędzia HackBrowserData do wydobywania danych z Firefoksa. To połączenie clippera (podmiana treści schowka), eksfiltracji plików oraz kilku mechanizmów utrwalania obecności daje malware’owi dużą elastyczność i szerokie pole działania.
Nowa odsłona dodaje utrzymanie obecności w środowisku oparte na LaunchDaemon, co pozwala złośliwemu kodowi przetrwać restart systemu bez konieczności ingerencji użytkownika. Równolegle utrzymane są mechanizmy bazujące na Git (umożliwiające ukryte pobieranie i aktualizowanie komponentów z repozytorium) oraz poprzednie techniki, co sprawia, iż usunięcie infekcji wymaga kompleksowej analizy i naprawy kilku miejsc w systemie. Atakujący stosują też drobne zmiany nazw modułów, aby utrudnić korelację śladów i reguł detekcji.
Dlaczego clipper jest szczególnie groźny dla użytkowników kryptowalut
Clipper działający na poziomie schowka podmienia skopiowane adresy portfeli według wzorców regex dopasowanych do różnych formatów adresów kryptowalut. Użytkownik, przekonany, iż wkleja poprawny adres, w rzeczywistości odsyła środki na konto napastnika – to atak natychmiastowy, trudny do odwrócenia i często niezauważalny – do momentu, gdy pieniądze znikają. W połączeniu z wykradaniem danych z Firefoksa i eksfiltracją innych artefaktów, technika ta znacząco zwiększa ryzyko strat finansowych.
Jak ograniczyć ryzyko i wykryć infekcję
Przede wszystkim należy pilnować źródeł kodu: projekty Xcode pobierane czy klonowane z repozytoriów innych osób powinny być weryfikowane przed budowaniem. Systemy macOS i narzędzia deweloperskie muszą być na bieżąco aktualizowane, a dostęp do mechanizmów uruchamiania skryptów (osascript) i zapisu w lokalizacjach startowych (LaunchDaemons, /Library/LaunchDaemons) ograniczony wyłącznie do zaufanych kont. Warto wdrożyć monitoring integralności plików bootloaderów i katalogów systemowych, EDR potrafiący wychwycić nietypowe wywołania osascript lub próby modyfikacji schowka oraz reguły detekcyjne dla nietypowych połączeń z zewnętrznymi repozytoriami Git. Użytkownicy kryptowalut powinni dodatkowo sprawdzać adresy po wklejeniu (porównanie długości/hashi) i, jeżeli to możliwe, używać mechanizmów potwierdzających adres (np. hardware wallets, potwierdzenia na drugim urządzeniu).
Podsumowanie
Ewolucja XCSSET to przypomnienie, iż łańcuch dostaw systemu i praktyki deweloperskie są podatnymi celami: narzędzia, biblioteki i projekty współdzielone między programistami mogą stać się drogą do szerokiego zainfekowania użytkowników końcowych. Obrona wymaga nie tylko zabezpieczeń technicznych na stacjach deweloperskich, ale też procedur weryfikacji źródeł kodu, ograniczeń praw dostępu oraz świadomego traktowania danych wrażliwych, takich jak zawartość schowka. Microsoft podkreśla, iż najważniejsze jest połączenie aktualizacji, ostrożności przy obsłudze klipów oraz monitoringu – to jedyny sposób, by realnie ograniczyć skutki takich – coraz bardziej wyrafinowanych – kampanii.
