🛡 概要
Microsoftの脅威インテリジェンスによると、新しいバリアントのXCSSETマルウェアが限られた攻撃で検出されており、ブラウザターゲティングの強化、クリップボードハイジャック、持続性メカニズムの改善などの新機能を組み込んでいます。XCSSETはモジュール式のmacOSマルウェアで、感染したデバイスからNotesや暗号通貨ウォレット、ブラウザデータを盗むインフォステーラーおよびクリプトカッパーとして機能します。このマルウェアは、デバイス上の他のXcodeプロジェクトを検索して感染し、プロジェクトがビルドされる際に実行されます。
🔍 技術詳細
XCSSETマルウェアは、特にソフトウェア開発者によって使用されるXcodeプロジェクトを感染させるように設計されており、Microsoftによると、「プロジェクトファイルがAppleまたはmacOS関連アプリケーションを構築する開発者の間で共有されることに依存している」とされています。新しいバリアントでは、Firefoxブラウザデータを盗むために、オープンソースのHackBrowserDataツールの改変版をインストールします。このツールは、ブラウザデータストアからブラウザデータを復号しエクスポートするために使用されます。また、クリップボードハイジャックのコンポーネントが更新され、暗号通貨アドレスに関連する正規表現パターンを監視します。暗号アドレスが検出されると、攻撃者のアドレスに置き換えられ、感染したデバイスから送信された暗号通貨は攻撃者に送られます。
⚠ 影響
この新しいバリアントはまだ広範囲には広がっていませんが、Microsoftは限られた攻撃でのみ観察されていると報告しています。マルウェアは、~/.rootペイロードを実行するLaunchDaemonエントリを作成し、/tmpに偽のSystem Settings.appを作成するなどの新しい持続性メソッドを含んでいます。これにより、攻撃者はその活動を隠すことができます。XCSSETは以前にもゼロデイの脆弱性を悪用しており、開発者やユーザーにとって深刻なリスクをもたらす可能性があります。
🛠 対策
この種のマルウェアから保護するためには、macOSとアプリを常に最新の状態に保つことが推奨されます。また、特に他の人から共有されたXcodeプロジェクトをビルドする前には、常にそれらを確認することが重要です。Microsoftは、開発者がXcodeプロジェクトをビルドする前に常に検査を行うことを推奨しています。これにより、XCSSETのようなマルウェアの感染リスクを軽減できます。
