手法更高明，macOS惡意軟體XCSSET變種現身

微軟研究人員近日發現macOS惡意軟體XCSSET出現變種，發展出更高明的混淆與程式感染手法，並已開始在網上發動攻擊。

XCSSET最早是2020年由趨勢科技研究人員發現，是透過macOS漏洞感染Xcode專案感染macOS電腦，隔年也發現過。在受害者系統上，它會竊取敏感資訊，包括Safari內的cookies、存取相機或安裝應用程式，或是硬碟檔案等。

最近微軟威脅情報研究人員發現2022年以來首隻公開觀測到的XCSSET新變種，已開始在網路上散布。它具有更高超的混淆（obfuscation）手法、更多滲透技倆，以及新的Xcode專案感染方法。

XCSSET新變種生成感染Xcode專案的惡意程式的方法，不論它使用的混淆編碼方法或是編碼迭代的版本數都更隨機。舊版XCSSET只使用一種xxd (hexdump)編碼，變種則再加入Base64，而且連變種模組名稱也經過混淆，讓研究人員難以判斷其意圖。

其次，為了維持對受害macOS電腦長期（Persistence）存取，新XCSSET變種使用了二種不同配置手法：zshrc和dock。zshrc方法中，XCSSET建立了zshrc的配置文件來存放惡意指令，並加上指令，確保用戶打開macOS電腦都會執行。dock方法中，XCSSET從外部伺服器下載合法管理工具dockutil，並建立假的macOS管理程式Launchpad，並修改dock路徑連結到假Launchpad。可確保用戶從dock操作時，可同時執行真的和假的Launchpad，以降低用戶警覺性。

最新變種也增加植入惡意指令的方法。它用三種方法TARGET、RULE和FORCED_STRATEGY以便在Xcode專案加入惡意指令。此外，還有一種方法能在build設定的TARGET_DEVICE_FAMILY key加入惡意指令，以便專案未來階段中執行。

微軟表示，其防毒軟體Microsoft Defender for Endpoint on Mac已偵測到這隻XCSSET變種。微軟建議開發人員要小心並驗證從公開程式庫下載的Xcode專案，因為XCSSET可能會經由感染的專案蔓延。使用者最保險的方法是從受信賴來源下載程式，例如蘋果的App Store。