macOS モジュール型マルウェア「XCSSET」の新たな亜種が、デジタルウォレットや正規アプリ「Notes」のデータなど、ユーザーの機密情報を狙う攻撃で出現した。
このマルウェアは通常、感染したXcodeプロジェクトを通じて配布される。このマルウェアは少なくとも5年前から存在しており、アップデートのたびにXCSSETの開発のマイルストーンを示している。今回の改良は、2022年以降初めて観測されたものである。
マイクロソフトの脅威インテリジェンスチームは、限定的な攻撃で最新の亜種を特定し、過去のXCSSET亜種と比較して、新しい亜種は強化されたコード難読化、より優れた持続性、および新しい感染戦略を備えていると述べている。
2021年5月、AppleはXCSSETによってゼロデイとして積極的に悪用された脆弱性を修正しましたが、これはマルウェア開発者の能力を示すものでした。
新たなXCSSETの亜種が野放し状態に
Microsoftは本日、全体的に改良されたmacOSマルウェアXCSSETの亜種を使用する新たな攻撃について警告している。研究者が発見した主な修正点は以下の通り:
- Base64とxxd(hexdump)の両方のメソッドに依存し、繰り返し回数が異なる エンコーディング技術による新たな難読化。コード内のモジュール名も難読化されているため、その意図を分析することが難しくなっている。
- 2つの永続化テクニック(zshrcと dock)
- 新しい Xcode 感染手法:マルウェアは、TARGET、RULE、または FORCED_STRATEGY オプションを使用して、Xcode プロジェクトにペイロードを配置します。また、ペイロードをビルド設定内の TARGET_DEVICE_FAMILY キーに挿入し、後の段階で実行することもあります。
zshrc永続化メソッドでは、新しい XCSSET バリアントは、ペイロードを含む ~/.zshrc_aliases という名前のファイルを作成し、~/.zshrc ファイルにコマンドを追加します。こうすることで、新しいシェル・セッションが始まるたびに、作成されたファイルが起動する。
ドック・メソッドでは、ドック・アイテムを管理するために、攻撃者のコマンド・アンド・コントロール(C2)サーバーから署名されたdockutilツールがダウンロードされる。
そしてXCSSETは、ペイロードを含む悪意のあるLaunchpadアプリケーションを作成し、正規のアプリのパスを変更して偽のアプリを指すようにします。その結果、ドック内のLaunchpadが起動すると、正規のアプリケーションと悪意のあるペイロードの両方が実行される。
Xcodeは、統合開発環境(IDE)を備えたアップルの開発者向けツールセットで、アップルの全プラットフォーム向けのアプリの作成、テスト、配布を可能にする。
Xcodeプロジェクトは、ゼロから作成することも、様々なリポジトリからダウンロード/クローンされたリソースに基づいて構築することもできる。それらをターゲットにすることで、XCSSETのオペレーターはより多くの犠牲者に手を差し伸べることができる。
XCSSETには、システム上のデータを解析し、機密情報を収集し、それを流出させるための複数のモジュールがあります。対象となるデータの種類には、ログイン、チャットアプリやブラウザからの情報、Notesアプリ、デジタルウォレット、システム情報、ファイルなどが含まれます。
マイクロソフトは、難読化されたマルウェアやバックドアが隠されている可能性があるため、非公式リポジトリからクローンされたXcodeプロジェクトやコードベースを検査・検証することを推奨している。
Comments