微软发现之前处于休眠状态的 macOS 恶意软件在针对各种 Apple 设备的新变种中再次活跃。
微软威胁情报在X上的一篇帖子中分享了有关该恶意软件的信息,表明它是起源于2022年的XCSSET新版本。安全专家解释说,更新后的恶意软件“增强了混淆方法、更新了持久性机制和新的感染策略”。
Microsoft Threat Intelligence 发现了 XCSSET 的新变种,这是一种复杂的模块化 macOS 恶意软件,通过感染 Xcode 项目来攻击用户。虽然我们目前仅在有限的攻击中看到这种新的 XCSSET 变体,但我们正在分享此信息…… pic.twitter.com/oWfsIKxBzB
—微软威胁情报 (@MsftSecIntel) 2025 年 2 月 17 日
TechRadar指出,XCSSET 恶意软件本质上是一种信息窃取者,能够攻击数字钱包、从 Apple Notes 应用程序收集数据以及收集系统信息和文件。
该恶意软件特别危险,因为它使用 Apple Xcode 平台中受感染的项目来渗透设备。 Xcode 是 Apple 提供的官方集成开发环境 (IDE),用于为其各种操作系统(包括 macOS、iOS、iPadOS、watchOS 和 tvOS)创建应用程序。该出版物补充说,该环境包括代码编辑器、调试器、界面生成器以及用于测试和部署应用程序的工具。
如前所述,更新的 XCSSET 变体包含进程,允许恶意软件在 Xcode 中更好地隐藏自身。为此,它使用两种技术,称为“zshrc”和“dock”。第一次攻击允许恶意软件创建一个文件 ~/.zshrc_aliases,其中保存受感染的数据。然后它在 ~/.zshrc 文件中添加一条命令,该命令将在每次启动新的 shell 会话时提示受感染的文件启动。这将确保恶意软件将通过额外的 shell 会话继续传播。
微软解释说,在第二次攻击中,恶意软件会“从命令和控制服务器下载一个经过签名的dockutil工具来管理dock项”。此后,它会创建一个假的 Launchpad 应用程序来替换设备底座上实际 Launchpad 应用程序的路径条目。当用户在受感染的设备上运行 Launchpad 时,实际的 Launchpad 应用程序和恶意软件版本都将执行,从而有效传播 XCSSET。
微软威胁情报解释说,它只在“有限的攻击中”发现了新的恶意软件变种,它正在共享有关威胁的信息,以便用户和组织可以采取预防措施。