Microsoft ได้ออกมาเปิดเผยว่า พบตัวแปรใหม่ของมัลแวร์ XCSSET ที่โจมตีผู้ใช้และนักพัฒนาบน macOS โดยตัวแปรนี้ถือเป็นการอัปเดตครั้งแรกของมัลแวร์ตระกูลนี้ตั้งแต่ปี 2022 และมาพร้อมกับความสามารถใหม่ ๆ ที่ทำให้การโจมตีมีประสิทธิภาพมากขึ้น
XCSSET เป็นมัลแวร์ที่เริ่มโจมตีนักพัฒนาและผู้ใช้ macOS ตั้งแต่ปี 2020 โดยอาศัยช่องโหว่ zero-day ที่ยังไม่มีการแก้ไขในขณะนั้น มัลแวร์นี้มักแพร่กระจายผ่านโปรเจกต์ Xcode ที่แฮ็กเกอร์สร้างขึ้นและแชร์ในที่สาธารณะ ซึ่งนักพัฒนามักดาวน์โหลดมาใช้โดยไม่รู้ตัว
Microsoft ระบุว่าตัวแปรใหม่ของ XCSSET มีการอัปเกรดหลายอย่างที่ทำให้มันอันตรายขึ้น ได้แก่:
- วิธีการฝังตัวใหม่:
- สร้างไฟล์
~/.zshrc_aliasesที่ฝังมัลแวร์ และเพิ่มคำสั่งในไฟล์~/.zshrcเพื่อให้มัลแวร์ทำงานทุกครั้งที่เริ่มเซสชันใหม่ - สร้างแอป Launchpad ปลอมและแทนที่ของ Launchpad จริง เพื่อให้มัลแวร์ทำงานทุกครั้งที่ผู้ใช้เปิด Launchpad
- สร้างไฟล์
- วิธีการแพร่กระจายที่ซับซ้อนขึ้น:
- ผู้ไม่หวังดีสามารถเลือกใช้วิธีต่าง ๆ เช่น TARGET, RULE, หรือ FORCED_STRATEGY เพื่อกำหนดเวลาที่มัลแวร์จะทำงาน
- ฝังมัลแวร์ไว้ในคีย์
TARGET_DEVICE_FAMILYภายใต้การตั้งค่า build และรันในภายหลัง
- การปิดบังที่แนบเนียนขึ้น:
- ใช้วิธีการสุ่มสร้าง payload เพื่อทำให้การตรวจจับมัลแวร์ทำได้ยากขึ้น
- เข้ารหัสชื่อโมดูลด้วย Base64 เพื่อหลบเลี่ยงการตรวจจับ
Microsoft แนะนำให้นักพัฒนาตรวจสอบโปรเจกต์ Xcode ทุกครั้งก่อนดาวน์โหลดหรือโคลนจากแหล่งสาธารณะ เนื่องจาก XCSSET อาศัยความไว้ใจของนักพัฒนาในการแพร่กระจาย
XCSSET ตัวแปรใหม่นี้ถือเป็นภัยคุกคามที่อันตรายขึ้นสำหรับผู้ใช้ macOS โดยเฉพาะนักพัฒนา Microsoft Defender for Endpoint บน Mac ได้เพิ่มการตรวจจับมัลแวร์นี้แล้ว และคาดว่าเครื่องมือป้องกันมัลแวร์อื่น ๆ จะตามมาในไม่ช้า
