Von Microsoft entdeckte aktualisierte macOS-Malware-Variante
Microsoft hat eine zuvor ruhende macOS-Malware beobachtet, die in einer neuen Variante wieder aktiv wird und es auf Apple-Geräte aller Art abgesehen hat.
Microsoft Threat Intelligence teilte in einem Beitrag auf
Microsoft Threat Intelligence hat eine neue Variante von XCSSET entdeckt, einer hochentwickelten modularen macOS-Malware, die es auf Benutzer abgesehen hat, indem sie Xcode-Projekte in freier Wildbahn infiziert. Obwohl wir diese neue XCSSET-Variante derzeit nur in begrenzten Angriffen sehen, teilen wir diese Informationen… pic.twitter.com/oWfsIKxBzB
– Microsoft Threat Intelligence (@MsftSecIntel) 17. Februar 2025
TechRadar stellte fest, dass es sich bei der XCSSET-Malware im Wesentlichen um einen Infostealer mit der Fähigkeit handelt, digitale Geldbörsen anzugreifen, Daten aus der Apple Notes-App zu sammeln und Systeminformationen und Dateien zu sammeln.
Die Schadsoftware ist besonders gefährlich, da sie infizierte Projekte in Apples Xcode-Plattform nutzt, um Geräte zu infiltrieren. Xcode ist die offizielle integrierte Entwicklungsumgebung (IDE), die Apple für die App-Erstellung für seine verschiedenen Betriebssysteme bereitstellt, darunter macOS, iOS, iPadOS, watchOS und tvOS. Die Umgebung umfasst einen Code-Editor, einen Debugger, einen Interface Builder und Tools zum Testen und Bereitstellen von Apps, heißt es in der Veröffentlichung weiter.
Wie bereits erwähnt, enthält die aktualisierte XCSSET-Variante Prozesse, die es der Malware ermöglichen, sich innerhalb von Xcode besser zu verbergen. Dazu nutzt es zwei Techniken namens „zshrc“ und „dock“. Der erste Angriff ermöglicht es der Malware, eine Datei, ~/.zshrc_aliases, zu erstellen, die die infizierten Daten enthält. Dann fügt es einen Befehl in die Datei ~/.zshrc ein, der die infizierte Datei jedes Mal startet, wenn eine neue Shell-Sitzung gestartet wird. Dadurch wird sichergestellt, dass sich die Malware mit weiteren Shell-Sitzungen weiter verbreitet.
Beim zweiten Angriff lädt die Malware „ein signiertes Dockutil-Tool von einem Command-and-Control-Server herunter, um die Dock-Elemente zu verwalten“, erklärte Microsoft. Anschließend wird eine gefälschte Launchpad-App erstellt, um den Pfadeintrag für die tatsächliche Launchpad-App auf dem Gerätedock zu ersetzen. Wenn ein Benutzer Launchpad auf einem infizierten Gerät ausführt, werden sowohl die eigentliche Launchpad-App als auch die Malware-Version ausgeführt, wodurch XCSSET effektiv verbreitet wird.
Microsoft Threat Intelligence erklärte, es habe die neue Malware-Variante nur „in begrenzten Angriffen“ gesehen und gebe Informationen über die Bedrohung weiter, damit Benutzer und Organisationen Vorsichtsmaßnahmen ergreifen können.