XCSSET macOS惡意軟件現新變種 新增瀏覽器攻擊與剪貼板劫持功能

微軟威脅情報報告稱，在小規模攻擊中檢測到XCSSET macOS惡意軟件的新變種。該變種新增多項功能，包括強化瀏覽器定向攻擊、剪貼板劫持及改進的持久化機制。

XCSSET是一款模塊化macOS惡意軟件，兼具信息竊取與加密貨幣竊取功能，可從受感染設備中竊取“備忘錄”數據、加密貨幣錢包信息及瀏覽器數據。

其傳播方式為：搜索設備中存儲的其他Xcode項目并植入惡意代碼，待目標項目編譯構建時，惡意軟件便會隨之執行。

據悉，XCSSET惡意軟件專門針對軟件開發人員常用的Xcode項目進行感染，并在Xcode項目編譯構建過程中啟動運行。據微軟評估認為，這種感染與傳播模式，利用的是開發蘋果或macOS相關應用的開發者之間共享項目文件的行為。

新變種的核心升級點

微軟觀察到該新變種存在多項關鍵改動，攻擊能力顯著增強：

1. 擴展瀏覽器數據竊取范圍：新變種通過安裝經篡改的開源工具HackBrowserData構建版本，嘗試竊取Firefox瀏覽器數據。該工具可從瀏覽器數據存儲區中解密并導出數據。

2. 升級剪貼板劫持組件：新增的剪貼板監控功能會掃描macOS剪貼板中與加密貨幣地址相關的正則表達式模式。

一旦檢測到加密貨幣地址，就會將其替換為攻擊者控制的地址——這意味著受感染設備上的用戶發起的加密貨幣轉賬，會被篡改為向攻擊者地址轉賬。

攻擊者與剪貼板劫持者使用的加密貨幣地址

3. 新增持久化手段：包括創建LaunchDaemon條目以執行~/.root惡意載荷，以及在/tmp目錄中偽造“系統設置.app（System Settings.app）”，以此偽裝自身活動，確保設備重啟后仍能維持惡意駐留。

攻擊現狀與防御建議

目前該新變種尚未廣泛傳播，微軟表示僅在小規模攻擊中發現其蹤跡。研究人員已向Apple通報相關發現，并正與GitHub合作移除相關惡意代碼倉庫。

為防范此類惡意軟件，建議采取以下措施：

·及時更新macOS系統及各類應用——鑒于XCSSET此前曾利用包括零日漏洞在內的多個漏洞發起攻擊，版本更新是關鍵防護手段；

·開發者在編譯Xcode項目前，務必仔細檢查項目內容，尤其是接收他人共享的項目文件時，更需嚴格核驗安全性。

參考及來源：https://www.bleepingcomputer.com/news/security/microsoft-warns-of-new-xcsset-macos-malware-variant-targeting-xcode-devs/