Фахівці Microsoft Threat Intelligence виявили новий варіант шкідливого ПЗ XCSSET для пристроїв на базі macOS, яке може підміняти криптовалютні гаманці. Поширюється малварь через заражені проєкти в середовищі розробки XCode.
Microsoft Threat Intelligence has uncovered a new variant of XCSSET, a sophisticated modular macOS malware that targets users by infecting Xcode projects, in the wild. While we’re only seeing this new XCSSET variant in limited attacks at this time, we’re sharing this information… pic.twitter.com/oWfsIKxBzB
— Microsoft Threat Intelligence (@MsftSecIntel) February 17, 2025
Оновлена версія отримала поліпшені методи обфускації, додаткові механізми збереження і стратегії зараження.
Зокрема, як захист від виявлення новий варіант XCSSET використовує більш рандомізований підхід для генерації корисних навантажень для зараження проєктів XCode.
«У той час, як старі варіанти використовували тільки xxd для кодування, останній включає ще й Base64. На рівні коду імена модулів варіанту також заплутані, що ускладнює визначення намірів модулів», — повідомили експерти.
Уперше малварь виявили ще 2020 року. Серед її функцій — можливість робити знімки екрана, записувати дії користувачів, красти відомості з Telegram-акаунтів, дані з додатка Notes, а також системну інформацію і файли.
Крім іншого, XCSSET здатна змінювати та підміняти криптовалютні адреси в різних мережах.
Microsoft зазначив, що оновлений варіант шкідника поки застосовували тільки в «обмежених атаках». Проте компанія вважала за необхідне повідомити організації для запобігання потенційної загрози.
Розробникам рекомендували ретельніше перевіряти будь-які завантажувані проєкти XCode і встановлювати додатки виключно з надійних джерел.
Раніше ForkLog повідомляв, що дослідники виявили викрадач криптоключів у Steam-грі.