Ga naar inhoud
  • Drifter

    Door Drifter

    Drifter

    Door Drifter

    Microsoft ontdekt nieuwe variant van XCSSET macOS-malware

    Microsoft heeft een geavanceerde nieuwe variant ontdekt van de XCSSET-malware, een modulaire macOS-infostealer die zich richt op ontwikkelaars via geïnfecteerde Xcode-projecten. Deze bijgewerkte versie introduceert verbeterde methoden voor verhulling, infectie en persistentie, waardoor het schadelijker en moeilijker te detecteren is dan voorheen.

    Wat is XCSSET?

    XCSSET is een malwarevariant die voor het eerst werd ontdekt in 2020. Het richt zich op macOS-gebruikers, specifiek ontwikkelaars, door geïnfecteerde Xcode-projecten te misbruiken. Zodra een ontwikkelaar een besmet project bouwt en uitvoert, wordt de malware geactiveerd, waardoor deze toegang krijgt tot systeeminformatie, bestanden, digitale portemonnees en gegevens uit de Notes-app van macOS.

    Nieuwe technieken voor verhulling en persistentie

    Na meer dan twee jaar inactief te zijn geweest, is XCSSET terug met verbeterde mogelijkheden. Microsoft benadrukt dat deze nieuwe versie een meer geavanceerde en gerandomiseerde benadering gebruikt voor het genereren van payloads, wat detectie bemoeilijkt.

    De malware gebruikt nu twee belangrijke persistentietechnieken:

    1. zshrc-methode: XCSSET maakt een bestand genaamd ~/.zshrc_aliases, dat de schadelijke payload bevat. Vervolgens voegt het een opdracht toe aan het ~/.zshrc-bestand, zodat de malware automatisch wordt uitgevoerd wanneer een nieuwe shell-sessie wordt gestart.

    2. Dock-manipulatie: De malware downloadt een ondertekende tool, dockutil, van een command-and-control (C2)-server om dock-items te beheren. Vervolgens maakt het een gemanipuleerde versie van de Launchpad-app, waarbij de malware wordt gekoppeld aan de legitieme app. Dit zorgt ervoor dat zowel de legitieme app als de malware worden uitgevoerd wanneer de gebruiker Launchpad opent vanuit het dock.

    Nieuwe infectiemethoden

    De bijgewerkte XCSSET-versie beschikt over nieuwe technieken om de schadelijke payload in Xcode-projecten te injecteren. Hierdoor kunnen nietsvermoedende ontwikkelaars zonder hun medeweten geïnfecteerde code verspreiden wanneer zij hun projecten delen of publiceren.

    Beperkte aanvallen, maar verhoogde dreiging

    Vooralsnog lijken de aanvallen beperkt te zijn, maar beveiligingsexperts waarschuwen macOS-gebruikers, met name ontwikkelaars, om waakzaam te blijven. Het wordt aangeraden om alleen vertrouwde Xcode-projecten te gebruiken, regelmatig updates uit te voeren en beveiligingssoftware te gebruiken om verdachte activiteiten te detecteren.

    Microsoft blijft de dreiging monitoren en adviseert gebruikers om alert te zijn op verdachte gedragingen binnen hun ontwikkelomgeving.

    Door: Drifter

    Ga naar articles

    Feedback Gebruiker

    Aanbevolen Reacties

    Er zijn geen reacties om weer te geven.



    Log in om te reageren

    Je kunt een reactie achterlaten na het inloggen



    Login met de gegevens die u gebruikt bij softtrack

×
×
  • Nieuwe aanmaken...