一种新型的 XCSSET 模块化恶意软件变种现身，该变种针对苹果操作系统（macOS），在攻击中会窃取用户的敏感信息，其中包括数字钱包信息以及来自合法 “备忘录” 应用程序的数据。

这种恶意软件通常通过受感染的 Xcode 项目进行传播。它至少已经存在五年了，每一次更新都代表着 XCSSET 发展历程中的一个里程碑。而目前的这些改进是自 2022 年以来首次被观察到的。

微软的威胁情报团队在有限的攻击活动中识别出了这个最新变种，并表示，与以往的 XCSSET 变种相比，这个新变种的特点是代码混淆程度更高、驻留能力更强，并且采用了新的感染策略。

2021 年 5 月，苹果公司修复了一个曾被 XCSSET 作为零日漏洞主动利用的安全漏洞，这也显示出该恶意软件开发者的能力。

野外出现的新型 XCSSET 变种

微软今日发出警告，称出现了新的攻击活动，这些攻击使用了经过全面改进的 XCSSET（针对苹果操作系统（macOS））恶意软件变种。研究人员发现的一些关键改动包括：

1.通过编码技术进行新的混淆处理，同时依赖 Base64 和十六进制转储（xxd/hexdump）方法，且迭代次数各不相同。代码中的模块名称也进行了混淆处理，这使得分析其意图变得更加困难。

2.两种驻留技术（zshrc 和程序坞（dock）相关技术）。

3.新的 Xcode 感染方法：该恶意软件使用 “目标（TARGET）”、“规则（RULE）” 或 “强制策略（FORCED_STRATEGY）” 选项，将有效载荷放置在 Xcode 项目中。它还可能将有效载荷插入到构建设置中的 “目标设备系列（TARGET_DEVICE_FAMILY）” 键中，并在后续阶段运行。

对于基于 zshrc 的驻留方法，新型 XCSSET 变种会创建一个名为～/.zshrc_aliases 的文件，该文件包含有效载荷，并在～/.zshrc 文件中附加一条命令。这样，每当启动一个新的 shell 会话时，所创建的文件就会运行。

对于基于程序坞（dock）的方法，攻击者会从其命令控制（C2）服务器下载一个已签名的 dockutil 工具，用于管理程序坞项目。

然后，XCSSET 会创建一个带有有效载荷的恶意 “启动台” 应用程序，并更改合法应用程序的路径，使其指向这个虚假的应用程序。结果是，当点击程序坞中的 “启动台” 时，合法应用程序和恶意有效载荷都会被执行。

Xcode 是苹果公司的开发者工具集，附带一个集成开发环境（IDE），可用于为所有苹果平台创建、测试和分发应用程序。

一个 Xcode 项目可以从头开始创建，也可以基于从各种代码库下载或克隆的资源来构建。通过将目标对准这些项目，XCSSET 的操控者能够接触到更多的受害者。

XCSSET 拥有多个模块，可用于解析系统上的数据、收集敏感信息并将其窃取外传。其针对的数据类型包括登录信息、来自聊天应用程序和浏览器的信息、“备忘录” 应用程序的数据、数字钱包信息、系统信息以及文件。

微软建议对从非官方代码库克隆的 Xcode 项目和代码库进行检查和验证，因为这些可能隐藏着经过混淆处理的恶意软件或后门程序。