Microsoft Threat Intelligence a découvert une nouvelle variante du logiciel malveillant XCSSET. Ce logiciel malveillant cible les utilisateurs de macOS en infectant les projets Xcode.
Une nouvelle variante du logiciel malveillant XCSSET pour macOS fait le tour du monde. Elle a été découverte par des chercheurs en sécurité de Microsoft. Il s’agit de la première mise à jour majeure du logiciel malveillant depuis 2022. Les attaquants ne déploient pas l’outil à grande échelle, mais ciblent principalement les développeurs. La nouvelle variante utilise des techniques avancées d’obscurcissement, de présence persistante et de méthodes d’infection.
La variante récemment découverte utilise une approche plus aléatoire pour générer des charges utiles dans les projets Xcode infectés. Alors que les variantes précédentes n’utilisaient que xxd (hexdump) pour le chiffrement, la nouvelle version utilise également Base64. De plus, les noms de modules dans le code sont cryptés, ce qui rend l’analyse difficile.
Deux méthodes
Le logiciel malveillant a deux méthodes pour s’intégrer dans le système : la méthode zshrc et la méthode dock. La première méthode consiste à ajouter une charge utile à un fichier caché (~/.zshrc_aliases) et une commande est ajoutée au fichier ~/.zshrc-qui exécute le script à chaque nouvelle session de l’interpréteur de commandes.
Dans la méthode du dock, le logiciel malveillant télécharge une version signée de l’utilitaire dockutil à partir d’un serveur de commande et de contrôle. Il crée ainsi une fausse version de l’application macOS Launchpad. Le logiciel malveillant modifie ensuite le raccourci dock de sorte que lorsque Launchpad est lancé, l’application réelle et la charge utile malveillante sont toutes deux exécutées.
Le logiciel malveillant introduit de nouvelles techniques pour insérer la charge utile dans un projet Xcode. Il peut utiliser des méthodes telles que TARGET, RULE ou FORCED_STRATEGY. Une autre méthode consiste à placer la charge utile dans la clé TARGET_DEVICE_FAMILY sous les paramètres de construction et à l’exécuter ultérieurement.
Microsoft signale que la nouvelle variante XCSSET n’est actuellement observée que dans des attaques limitées. Néanmoins, il est conseillé aux utilisateurs et aux organisations de prendre des précautions pour éviter l’infection. Microsoft souligne subtilement, et pas tout à fait par hasard, que Defender pour Mac détecte avec succès le logiciel malveillant.