Cảnh báo biến thể phần mềm độc hại XCSSET macOS mới nhắm vào nhà phát triển Xcode

XCSSET là một phần mềm độc hại macOS dạng mô-đun, hoạt động như một trình đánh cắp thông tin, đánh cắp ghi chú, ví tiền điện tử và dữ liệu trình duyệt từ các thiết bị bị nhiễm. Phần mềm độc hại này lây lan bằng cách tìm kiếm và tấn công các dự án Xcode khác được tìm thấy trên thiết bị, do đó mã độc có khả năng thực thi khi dự án được build phần mềm.

Microsoft giải thích: “XCSSET được thiết kế để lây nhiễm vào các dự án Xcode, thường được các nhà phát triển sử dụng và chạy trong khi dự án Xcode đang được build. Chúng tôi đánh giá rằng chế độ phát tán này tập trung vào các tệp dự án được chia sẻ giữa các nhà phát triển đang build các ứng dụng liên quan đến Apple hoặc macOS.”

Trong một biến thể mới được Microsoft quan sát, các nhà nghiên cứu đã ghi nhận một số thay đổi. Hiện tại, nó cố gắng đánh cắp dữ liệu trình duyệt Firefox bằng cách cài đặt bản build đã sửa đổi của công cụ HackBrowserData nguồn mở, được sử dụng để giải mã và trích xuất dữ liệu trình duyệt.

Biến thể mới này cũng bao gồm bản cập nhật với tính năng chiếm quyền điều khiển và theo dõi clipboard của macOS, để tìm các mẫu biểu thức chính quy liên quan đến địa chỉ tiền điện tử.

Khi phát hiện một địa chỉ bất kỳ, mã độc sẽ thay thế địa chỉ đó bằng một địa chỉ thuộc về kẻ tấn công. Điều này khiến bất kỳ loại tiền điện tử nào do người dùng gửi trên thiết bị bị nhiễm sẽ được gửi đến kẻ tấn công. Phần mềm độc hại này cũng bao gồm các phương pháp duy trì mới, chẳng hạn như tạo các mục LaunchDaemon thực thi payload ~/.root và tạo System Settings.app giả mạo trong /tmp để ngụy trang hoạt động.

Hiện biến thể mới vẫn chưa lan rộng và Microsoft cho biết họ chỉ phát hiện nó trong một số cuộc tấn công hạn chế. Các nhà nghiên cứu cũng đã chia sẻ những phát hiện này với Apple và đang làm việc với GitHub để xóa các kho lưu trữ liên quan.

Để bảo vệ chống lại loại phần mềm độc hại này, người dùng được khuyến nghị nên cập nhật macOS và các ứng dụng, đặc biệt là khi XCSSET đã từng khai thác các lỗ hổng bảo mật, bao gồm lỗ hổng zero-day. Microsoft cũng khuyến cáo các nhà phát triển luôn kiểm tra các dự án Xcode trước khi build lên môi trường thực thi.