Einige Zeit war es ruhig um die Mac-Malware XCSSET. Nun hat Microsoft neue aktive Varianten entdeckt, die Xcode-Projekte befallen.
Seit dem Jahr 2022 trat die Malware nicht mehr in Erscheinung, nun hat Microsofts Threat Intelligence-Team eine neue Variante der XCSSET-Malware in freier Wildbahn entdeckt. Es handelt sich um eine fortschrittliche modulare Malware, die unter macOS läuft und durch Infektion von Xcode-Projekten auf Opfer zielt.
Die neue Variante hätten die IT-Sicherheitsforscher bisher lediglich “in begrenzten Angriffen” gesehen, schreiben sie auf X. Die erstmals seit 2022 wieder gesehene XCSSET-Variante setzt demnach auf verbesserte Tarnmethoden, aktualisierte Einnnistmechanismen zur Erreichung von Persistenz sowie neue Infektionsstrategien.
XCSSET: Höher, schneller, weiter
Sowohl die Encoding-Technik als auch die Anzahl an Encoder-Iterationen zum Erstellen der Malware-Payload sind zufällig. Die alten Varianten hätten lediglich xxd (ein Programm, das einen Hexdump von übergebenen Daten erstellt) zum Kodieren verwendet, nun kennt XCSSET auch Base64. Die Modulnamen der Malware-Variante verschlüsselt sie jetzt auch, sodass es schwieriger wird, die Absicht des Moduls zu erkennen.
Zum Einnisten setzt die neue XCSSET-Version auf zwei Varianten. Zum einen kann sie eine Datei ~/.zshrc_aliases anlegen, die die Malware-Payload enthält. Durch das Ergänzen eines Befehls in ~/.zshrc startet die Malware jedes Mal, wenn eine neue Shell geöffnet wird. Zum anderen kann XCSSET ein signiertes “dockutil” vom Command-and-Control-Server herunterladen, mit dem die Dock-Einträge verwaltet werden können. XCSSET erstellt eine falsche Launchpad-App und setzt den regulären Launchpad-Pfadeintrag im Dock auf diese Datei. Die Malware wird dann bei jedem Launchpad-Start aus dem Dock gestartet, wobei sie zudem die echte Launchpad-App zur Tarnung startet.
Zum Implantieren der Malware in Xcode-Projekte kennt XCSSET neue Methoden. Microsoft listet dafür TARGET, RULE oder FORCED_STRATEGY auf. Die bösartige Payload kann zudem im TARGET_DEVICE_FAMILY-Key in den Build-Einstellungen versteckt sein und in einer späteren Phase laufen.
Entwickler müssten stets heruntergeladene oder aus Repositories geklonte Xcode-Projekte überprüfen, rät Microsoft, da die Malware sich über infizierte Projekte verbreite. Sie sollten auch nur Programme aus vertrauenswürdigen Quellen installieren, etwa dem offiziellen App-Store der Software-Plattform. Konkretere Hinweise auf Infektionen (Indicators of Compromise, IOCs), anhand derer Entwickler ihr System auf möglichen Befall prüfen können, nennt Microsoft jedoch nicht. Es bleibt daher nur, bei den Projekten die genannten Einträge in den Projekt- und Build-Einstellungen auf Plausibilität zu prüfen.
XCSSET wurde im Jahr 2020 erstmals entdeckt und beschrieben. Dort verbreitete sich die Malware etwa über manipulierte Xcode-Projekte auf Github.