XCSSET マルウェアの亜種

研究者らは、macOS マルウェア XCSSET の新しい亜種を特定しました。これは、2022 年以来初めて確認されたバージョンです。この更新バージョンは限定的な攻撃で確認されており、強化された難読化技術、改善された持続メカニズム、新しい感染戦略が採用されています。これらの進歩は、デジタルウォレットの侵害、Notes アプリからのデータの抽出、機密システム情報の流出など、XCSSET の既存の機能に基づいています。

2020年以来の継続的な脅威

XCSSET は、2020 年 8 月に、主に Apple Xcode プロジェクトに感染して拡散するモジュール式の macOS 脅威として初めて明るみに出ました。時間の経過とともに、マルウェアは進化し、新しい macOS バージョンや Apple の M1 チップセットにまで適応しました。2021 年半ばまでに、サイバーセキュリティ研究者は、XCSSET が Google Chrome、Telegram、Evernote、Opera、Skype、WeChat、および連絡先やメモなどの Apple のネイティブ アプリケーションを含むさまざまなアプリケーションからデータを吸い上げるように変更されていることを発見しました。

監視のための脆弱性の悪用

XCSSET の進化において最も懸念される側面の 1 つは、脆弱性を悪用してその影響範囲を拡大する能力です。2021 年に研究者らは、このマルウェアが透明性、同意、制御 (TCC) フレームワークのバイパス バグである CVE-2021-30713 を利用していることを発見しました。この欠陥を悪用することで、 XCSSET は追加の権限を必要とせずに被害者のデスクトップのスクリーンショットをキャプチャすることができ、セキュリティの抜け穴を利用する適応性を示しています。

macOS のアップデートに遅れずに

XCSSET は、その機能が公開された後も進化を続けました。2021 年のアップデートから 1 年以上経った後、このマルウェアは macOS Monterey との互換性を確保するためにさらに改訂されました。継続的な調査と監視の取り組みにもかかわらず、XCSSET の起源は謎のままであり、macOS ユーザーにとって継続的な懸念となっています。

難読化と永続化: 最新の進歩

XCSSET の最新版は、検出と削除をより困難にすることに重点を置いています。高度な難読化技術と強化された永続化メカニズムにより、このマルウェアはセキュリティ分析を回避しながらもアクティブな状態を維持するように設計されています。最新のトリックの 1 つは、新しいシェル セッションごとに自動的に起動し、感染したシステムでの足場をさらに固めることです。

macOS Dock を操作してステルス実行

XCSSET が永続化のために採用する新しい方法の 1 つは、macOS Dock を操作することです。マルウェアは、コマンド アンド コントロール サーバーから dockutil ユーティリティの署名済みバージョンをダウンロードし、Dock 項目を管理します。次に、偽の Launchpad アプリケーションを作成し、Dock 内の正規の Launchpad のパスを置き換えます。その結果、ユーザーが Launchpad を起動するたびに、正規のアプリケーションと脅威となるペイロードが実行され、マルウェアは検出されずに動作します。

明確な起源のない継続的な脅威

XCSSET の再出現は、macOS の脅威の適応性と回復力を浮き彫りにしています。新しいバージョンが出るたびに、セキュリティ防御を突破するための戦術が改良され、継続的な警戒が不可欠になっています。その起源は不明ですが、1 つはっきりしていることは、XCSSET がサイバーセキュリティの専門家と macOS ユーザーの両方にとって引き続き手強い脅威であるということです。