Die Betreiber der XCSSET macOS-Malware haben den Einsatz erhöht, indem sie iterative Verbesserungen vorgenommen haben, die Unterstützung für macOS Monterey hinzufügen, indem sie die Quellcode-Komponenten auf Python 3 aktualisiert haben.
„Die Malware-Autoren sind dazu übergegangen, die primäre ausführbare Datei in einer gefälschten Xcode.app in den ersten Versionen im Jahr 2020, in einer gefälschten Mail.app im Jahr 2021 und jetzt in einer gefälschten Notes.app im Jahr 2022 zu verstecken“, so die SentinelOne-Forscher Phil Stokes und Dinesh Devadoss in einem Bericht.
XCSSET, das erstmals 2020 von Trend Micro dokumentiert wurde, hat viele bewegliche Teile, die es ihm ermöglichen, sensible Informationen aus Apple Notes, WeChat, Skype und Telegram abzugreifen, bösartigen JavaScript-Code in verschiedene Websites einzuschleusen und Cookies aus dem Safari-Webbrowser auszulesen.
Die Infektionskette besteht aus einem Dropper, der die Xcode-Projekte der Nutzer/innen mit der Backdoor kompromittiert, die sich als Systemsoftware oder als Google Chrome Webbrowser-Anwendung tarnt, um der Entdeckung zu entgehen.
Bei der primären ausführbaren Datei handelt es sich um ein AppleScript, das dazu dient, AppleScript-Nutzdaten der zweiten Stufe von einem Netzwerk von Remote-Servern abzurufen, die Daten in Webbrowsern wie Google Chrome, Mozilla Firefox, Microsoft Edge, Brave und Yandex Browser sowie in Chat-Apps wie Telegram und WeChat abgreifen.
Es ist auch bekannt, dass der Bedrohungsakteur ein benutzerdefiniertes AppleScript („listing.applescript“) verwendet, um festzustellen, „wie aktuell das Opfer mit Apples XProtect- und MRT-Malware-Entfernungsprogramm ist, vermutlich um sie mit effektiveren Nutzdaten anzusprechen“, so die Forscher.
Einer der neuartigen Aspekte des Angriffs ist, dass die Malware in Xcode-Projekten eingesetzt wird, um sich über GitHub-Repositories zu verbreiten und die Reichweite weiter zu erhöhen.
Neben AppleScripts nutzt die Malware auch Python-Skripte, um gefälschte Anwendungssymbole im macOS-Dock zu platzieren und Daten aus der vorinstallierten Notes-App zu stehlen.
Die neueste Version von XCSSET enthält außerdem Änderungen an AppleScripts, um der Entfernung von Python 2.7 aus macOS 12.3 vom 14. März 2022 Rechnung zu tragen, was darauf hindeutet, dass die Autoren die Malware kontinuierlich aktualisieren, um ihre Erfolgschancen zu erhöhen.
Zu diesem Zweck sollen die Angreifer ihr „safari_remote.applescript“ aktualisiert haben, indem sie Python 2 zugunsten von Python 3 für Systeme mit macOS Monterey 12.3 und höher eliminiert haben.
Obwohl die Malware bereits seit zwei Jahren im Umlauf ist, ist nur wenig über die Identität der Bedrohungsakteure, ihre Beweggründe oder ihre genauen Ziele bekannt. Allerdings wurden erst im Mai 2022 XCSSET-Malware-Angriffe in China gemeldet, bei denen die Opfer 200 USDT als Gegenleistung für die Entsperrung gestohlener Konten zahlen sollten.
„Zum jetzigen Zeitpunkt ist unklar, ob es sich bei diesen infizierten Repos um Opfer handelt oder um Anlagen von Bedrohungsakteuren, die unvorsichtige Nutzer infizieren wollen“, so die Forscher. „Es wird vermutet, dass ahnungslose Nutzer durch Tutorials und Screencasts für unerfahrene Entwickler auf die infizierten Repositories hingewiesen werden.