Η Microsoft Threat Intelligence αποκάλυψε μια προηγμένη παραλλαγή της οικογένειας malware XCSSET, η οποία στοχεύει ενεργά προγραμματιστές macOS μέσω μολυσμένων έργων Xcode.
Δείτε επίσης: Το FINALDRAFT Malware εκμεταλλεύεται το Microsoft Graph API
Αυτό το αρθρωτό backdoor, που εντοπίστηκε για πρώτη φορά το 2020, έχει εξελιχθεί σε έναν ιδιαίτερα προηγμένο απειλητικό παράγοντα. Χρησιμοποιεί πλέον εξελιγμένες τεχνικές συσκότισης, εκλεπτυσμένους μηχανισμούς επιμονής και νέους τρόπους μόλυνσης, καταφέρνοντας να παρακάμψει τα συστήματα ασφαλείας της Apple και να θέσει σε κίνδυνο την ακεραιότητα των αλυσίδων εφοδιασμού λογισμικού.
Η νέα έκδοση του XCSSET malware εισάγει στρατηγικές κωδικοποίησης πολλαπλών επιπέδων, σχεδιασμένες να αποφεύγουν τη στατική ανάλυση. Σε αντίθεση με τις προηγούμενες εκδόσεις, που βασίζονταν σε shell scripts μεταγλωττισμένα μέσω SHC και AppleScripts μόνο για εκτέλεση, η αναβαθμισμένη παραλλαγή τυχαιοποιεί τους αλγόριθμους κωδικοποίησης, εναλλάσσοντας μεταξύ λειτουργιών όπως η κωδικοποίηση Base64 και η μετατροπή xxd hexdump.
Η μεταβλητότητα αυτή αποτρέπει την ανίχνευση που βασίζεται σε υπογραφές, καθώς κάθε νέα εκδοχή του ωφέλιμου φορτίου παράγει μοναδικά κρυπτογραφικά αποτυπώματα.
Δείτε ακόμα: FinStealer malware στοχεύει χρήστες κινητών Ινδικής Τράπεζας
Το ιδιαίτερα σημαντικό στοιχείο είναι ότι το malware προσαρμόζει δυναμικά τον αριθμό των κύκλων κωδικοποίησης (από 5 έως 9) κατά τη διάρκεια της εκτέλεσής του, καθιστώντας ακόμα πιο δύσκολη την προσπάθεια αντίστροφης μηχανικής.
Σε επίπεδο συστήματος αρχείων, το XCSSET malware πλέον ενσωματώνει αρθρωτά στοιχεία μέσα σε αλλοιωμένα πακέτα εφαρμογών, προσφέροντας έναν πιο οργανωμένο και εξελιγμένο τρόπο δράσης.
Οι πρόσφατες κακόβουλες καμπάνιες αποκρύπτουν το βασικό εκτελέσιμο αρχείο (a.scpt) μέσα σε ένα πλαστό Notes.app, το οποίο τοποθετείται στρατηγικά σε ασυνήθιστους υποκαταλόγους της Βιβλιοθήκης, όπως το ~/Library/Application Scripts/com.apple.CalendarAgent.
Αυτή η τεχνική εκμεταλλεύεται την εμπιστοσύνη που δείχνει το macOS στους γειτονικούς συστημικούς καταλόγους, επιτρέποντας την παράκαμψη των ελέγχων του Gatekeeper.
Δείτε επίσης: Ψεύτικα sites Google Chrome διανέμουν το ValleyRAT malware
Το macOS malware αποτελεί έναν αυξανόμενο κίνδυνο για τους χρήστες υπολογιστών της Apple. Παρά τη φήμη του macOS ότι είναι πιο ασφαλές από άλλα λειτουργικά συστήματα, οι κυβερνοεγκληματίες συνεχώς αναπτύσσουν νέες τεχνικές για να παρακάμπτουν τα ενσωματωμένα μέτρα ασφαλείας. Οι απειλές μπορούν να περιλαμβάνουν λογισμικό τύπου adware, spyware ή ακόμη και ransomware, που κλέβουν δεδομένα ή εκμεταλλεύονται πόρους του συστήματος. Η τακτική ενημέρωση του λειτουργικού συστήματος, η προσεκτική εγκατάσταση λογισμικού από αξιόπιστες πηγές και η χρήση αξιόπιστου antivirus αποτελούν βασικά μέτρα προστασίας.
Πηγή: cybersecuritynews
