‫ نوع جدید بدافزار XCSSET با هدف قرار دادن برنامه و کیف پول macOS Notes

مایکروسافت به توسعه دهندگان اپل در مورد یک بدافزار جدیدXCSSET هشدار می‌دهد کهmacOS را هدف قرار می‌دهد و خطرات امنیتی را از طریق عفونت‌های مخفی و سرقت داده‌ها ایجاد می‌کند.

محققان امنیت سایبری درMicrosoft Threat Intelligence گونه جدیدی از بدافزارXCSSET را شناسایی کرده‌اند که کاربرانmacOS را هدف قرار می‌دهد. این بدافزار مدولار با آلوده کردن پروژه‌هایXcode، ابزارهای لازم برای ساخت برنامه‌های کاربردی در پلتفرمmacOS، بر حمله به توسعه‌دهندگان اپل تمرکز می‌کند.

در حالی که گسترش فعلی این نسخه به روز شده محدود به نظر می رسد، کارشناسان از توسعه دهندگان و سازمان ها می‌خواهند که اقدامات پیشگیرانه را برای محافظت از سیستم‌های خود اجرا کنند.

XCSSET چیست؟
XCSSET برای اولین بار توسطTrend Micro در سال 2020 شناسایی شد. از آن زمان به عنوان یک بدافزار آب زیرکاه شهرت پیدا کرده است. این آخرین نسخه بر اساس قابلیت‌های نسخه قبلی خود با پیشرفت‌های عمده در طراحی آن ساخته شده است و تشخیص و دفاع در برابر آن را حتی سخت‌تر می‌کند.

طبق یافته‌های مایکروسافت، نوع جدید مجهز به تکنیک‌های مبهم‌سازی پیشرفته، مکانیسم‌های پیچیده‌تر پایداری و روش‌های به‌روز شده برای آلوده‌سازی سیستم‌ها است. این ارتقاهاXCSSET را به یک تهدید دائمی و مخفی تبدیل می‌کند که می‌تواند ترکیبی از فعالیت‌های مخرب مختلف را انجام دهد، از جمله هدف قرار دادن کیف پول‌های دیجیتال، سرقت داده‌ها از برنامهNotes، سرقت اطلاعات حساس سیستم و استخراج فایل‌ها.

تشخیص سخت‌تر
یکی از قابلیت‌های اصلی این نوع جدیدXCSSET تمرکز آن بر فرار است. برای جلوگیری از شناسایی توسط آنتی ویروس و سایر ابزارهای امنیتی، بدافزار محموله‌های خود را به صورت کاملا تصادفی تولید می‌کند. هم فرآیند رمزگذاری و هم تعداد تکرارهای مورد استفاده را تصادفی می‌کند و چالش‌هایی را برای محققانی که سعی در تجزیه‌و تحلیل کد دارند ایجاد می‌کند.

علاوه بر این، نسخه‌های قدیمی‌ترXCSSET برای رمزگذاری بارهای خود به یک ابزار واحد، xxd (hexdump) متکی بودند. با این حال، آخرین نسخه، رمزگذاریBase64 را به زرادخانه خود اضافه می‌کند و تلاش‌های تجزیه‌و تحلیل را پیچیده تر می‌کند. حتی نام ماژول‌های بدافزار مبهم شده است و تشخیص هدف یا عملکرد آنها در کد را دشوار می‌کند.

سخت‌تر برای حذف
نوع جدیدXCSSET از دو روش نوآورانه برای اطمینان از فعال ماندن آن در سیستم‌های آلوده، حتی پس از راه‌اندازی مجدد یا خروج کاربر استفاده می‌کند.

1- روش"zshrc": این تاکتیک شامل ایجاد یک فایل مخفی به نام~/.zshrc_aliases برای قرار دادن بار مخرب است. سپس بدافزار فایل پیکربندی~/.zshrc را دست‌کاری می‌کند و دستوری را اضافه می‌کند که هر زمان که جلسه پوسته جدیدی شروع می‌شود، به‌طور خودکار فایل مخرب را بارگیری می‌کند. این بدان معناست که هر بار که کاربر ترمینال خود را باز می کند، بدافزار در پس زمینه فعال می شود.
2- روش"Dock": این رویکردDock macOS را ربوده است. این بدافزار یک ابزار امضا شده به نام"dockutil" را از یک سرور فرمان و کنترل از راه دور دانلود می‌کند تا مواردDock را تغییر دهد. این برنامه قانونی"Launchpad" را با یک نسخه مخرب جایگزین می‌کند‌ و تضمین می‌کند که بدافزار هر بار که کاربر باDock تعامل دارد اجرا می‌شود.

هدف‌گذاری پروژه‌هایXcode
همانطور که از نام آن پیداست، XCSSET در درجه اولXcode، محیط توسعه یکپارچه قدرتمند اپل(IDE) برایmacOS را هدف قرار می‌دهد. بدافزار با استفاده از یکی از سه استراتژی قرار دادن: TARGET، RULE، یاFORCED_STRATEGY به پروژه‌هایXcode نفوذ می‌کند. این استراتژی‌ها تعیین می‌کنند که چگونه و کجا بار مخرب در فایل‌های پروژه جاسازی شود.

علاوه بر این، بدافزار می‌تواند کلیدTARGET_DEVICE_FAMILY را در تنظیمات ساخت پروژه هدف قرار دهد. XCSSET با درج کد خود در اینجا اطمینان می‌دهد کهpayload فقط زمانی فعال می‌شود که برنامه در دستگاه‌های خاصی ساخته شده و اجرا شود، و از شناسایی در مراحل توسعه یا آزمایش اجتناب می‌کند.

چگونه از خود محافظت کنیم

اگر شما یک توسعه دهنده اپل یا به طور کلی کاربرmacOS هستید، در اینجا چند نکته ساده اما حیاتی برای محافظت از دستگاه‌های خود در برابر بدافزارXCSSET آورده شده است:

• پروژه‌هایXcode را بررسی کنید: همیشه پروژه‌هایXcode را بررسی و تأیید کنید، به خصوص اگر از مخازن خارجی دانلود شده یا توسط اشخاص ثالث به اشتراک گذاشته شده است.
• به منابع قابل اعتماد پایبند باشید: برنامه‌ها و ابزارها را منحصراً از کانال‌های رسمی اپل یا پلتفرم‌های نرم افزاری معتبر دانلود کنید. از فروشگاه‌های برنامه شخص ثالث یا دانلودهای غیر رسمی خودداری کنید.
• با به روز‌رسانی‌ها همراه باشید: با آخرین توصیه‌های امنیتی مایکروسافت، اپل و سایر سازمان‌های امنیت سایبری به روز باشید.