XCSSET: macOS-Malware zeigt sich erneut aktiv

Im Jahr 2022 war die XCSSET-Malware nicht weiterhin aufgetaucht. Aktuell hat jedoch Microsofts Threat Intelligence-Team eine neue Variante dieser Malware entdeckt. Die Malware stellt eine moderne » modulare Bedrohung dar « die unter macOS agiert. Sie zielt darauf ab, Xcode-Projekte zu infizieren.



Neue Variante in freier Wildbahn


Die IT-Sicherheitsforscher berichten von begrenzten Angriffen mit dieser neuen Malware-Variante. XCSSET zeigt verbesserte Tarnmethoden und aktualisierte Mechanismen zur Erreichung von Persistenz. Neue Infektionsstrategien sind ähnlich wie zum Einsatz gekommen. Den bisherigen Informationen zufolge ist die XCSSET-Malware seit 2022 wieder aktiv.



Technologische Verbesserungen


Sowohl die Encoding-Technik sowie die Anzahl der Encoder-Iterationen zur Erstellung der Malware-Payload sind variabel und zufällig. Während die alten Varianten nur xxd zur Kodierung verwendeten, nutzt XCSSET mittlerweile ebenfalls Base64. Diese Neuerung macht es schwieriger die Funktionen der einzelnen Module zu erkennen. Zudem verschlüsselt die Malware die Modulnamen.



Methoden des Einnistens


Die neue XCSSET-Version verwendet zwei Methoden für die Installation. Einerseits erstellt sie eine Datei namens ~/.zshrc_aliases. Diese Datei enthält die Malware-Payload. Ergänzt man einen Befehl in ~/.zshrc, wird die Malware bei jeder neuen Shell geöffnet. Andererseits kann XCSSET eine signierte Version von "dockutil" vom Command-and-Control-Server herunterladen. Dieses Tool dient der Verwaltung der Dock-Einträge.



Täuschung im Dock


Die Malware tarnet sich geschickt. Sie erstellt eine falsche Launchpad-App und ändert den regulären Launchpad-Pfadeintrag im Dock. Bei jedem Start des Launchpads startet die Malware aus dem Dock, während gleichzeitig die echte Launchpad-App für zusätzliche Tarnung geöffnet wird.



Neue Implantationsmethoden


XCSSET kennt inzwischen neue Methoden um sich in Xcode-Projekte einzuschleusen. Microsoft hebt die Begriffe TARGET RULE & FORCED_STRATEGY hervor. Die böse Payload kann sich auch im TARGET_DEVICE_FAMILY-Key in den Build-Einstellungen verstecken und zu einem späteren Zeitpunkt aktiv werden.



Sicherheitsmaßnahmen für Entwickler


Entwickler sind angehalten, Xcode-Projekte stets zu überprüfen – insbesondere solche die heruntergeladen oder von Repositories geklont wurden. Dies rät Microsoft eindringlich da die Malware sich durch infizierte Projekte verbreiten kann. Die Verwendung vertrauenswürdiger Quellen, ebenso wie dem offiziellen App-Store der Software-Plattform ist ratsam. Konkrete Hinweise auf Infektionen nennt Microsoft leider nicht. Entwickler müssen deshalb selbst die Projekt- und Build-Einstellungen auf Plausibilität prüfen.



Ursprünge der XCSSET-Malware

Erstmals entdeckt wurde XCSSET im Jahr 2020. Damals verbreitete sich die Malware über manipulierte Xcode-Projekte auf Github.





Kommentare


Ähnliche News

XCSSET Malware: Apple-Sicherheitsmechanismus TCC durch Zero-Day umgangen

 XCSSET Malware: Zero-Day erlaubt Umgehung von Apples Sicherheitsmechanismus TCC in macOS

Eine kritische Sicherheitslücke in der Apple-Software macOS ermöglichte es der XCSSET Malware, den Sicherheitsmechanismus Transparency Consent and Control (TCC) zu umgehen. Dieser Schutzmechanismus ist besonders wichtig da er Benutzerdaten schützt und die Berechtigungen von Apps verwaltet.




Banshee Stealer: Bedrohung für macOS-Nutzer

 Banshee Stealer Variante zielt auf macOS-User ab

Sicherheitsforscher warnen Bereits seit September des letzten Jahres beobachten Sicherheitsforscher von Check Point Research (CPR) eine neue Variante des Banshee macOS Stealers. Diese Malware hat es sich zur Aufgabe gemacht – sensible Daten zu stehlen.


MacOS unter Beschuss: Krypto-Diebe tarnen bösartige Apps als PDFs

 MacOS unter Beschuss: Krypto-Diebe tarnen bösartige App als PDF

MacOS-Nutzer sind derzeit im Fokus von Cyberkriminellen. Seit Oktober 2024 zielen Angriffe gezielt auf diese Gruppe ab. Die nordkoreanische Hackergruppe BlueNoroff ist hinter diesen Aktivitäten aktiv. Sie hat enge Verbindungen zur berüchtigten Lazarus-Gruppe.


Anzeige