Photo by Walling on Unsplash

微软研究人员近日发现macOS恶意软件XCSSET出现变种，发展出更高明的混淆与程序感染手法，并已开始在网上发动攻击。

XCSSET最早是2020年由趋势科技研究人员发现，是透过macOS漏洞感染Xcode专案感染macOS电脑，隔年也发现过。在受害者系统上，它会窃取敏感资讯，包括Safari内的cookies、存取相机或安装应用程序，或是硬碟文件等。

最近微软威胁情报研究人员发现2022年以来首只公开观测到的XCSSET新变种，已开始在网路上散布。它具有更高超的混淆（obfuscation）手法、更多渗透技俩，以及新的Xcode专案感染方法。

XCSSET新变种生成感染Xcode专案的恶意程序的方法，不论它使用的混淆编码方法或是编码迭代的版本数都更随机。旧版XCSSET只使用一种xxd (hexdump)编码，变种则再加入Base64，而且连变种模组名称也经过混淆，让研究人员难以判断其意图。

其次，为了维持对受害macOS电脑长期（Persistence）存取，新XCSSET变种使用了二种不同配置手法：zshrc和dock。zshrc方法中，XCSSET建立了zshrc的配置文件来存放恶意指令，并加上指令，确保用户打开macOS电脑都会执行。dock方法中，XCSSET从外部服务器下载合法管理工具dockutil，并建立假的macOS管理程序Launchpad，并修改dock路径连结到假Launchpad。可确保用户从dock操作时，可同时执行真的和假的Launchpad，以降低用户警觉性。

最新变种也增加植入恶意指令的方法。它用三种方法TARGET、RULE和FORCED_STRATEGY以便在Xcode专案加入恶意指令。此外，还有一种方法能在build设定的TARGET_DEVICE_FAMILY key加入恶意指令，以便专案未来阶段中执行。

微软表示，其防毒软件Microsoft Defender for Endpoint on Mac已侦测到这只XCSSET变种。微软建议开发人员要小心并验证从公开程序库下载的Xcode专案，因为XCSSET可能会经由感染的专案蔓延。使用者最保险的方法是从受信赖来源下载程序，例如苹果的App Store。