🔍 **增强的剪贴板劫持与加密货币欺诈：** 新版 XCSSET 包含一个剪贴板监控子模块，能够识别与数字钱包相关的地址模式。一旦检测到匹配，它会将剪贴板内容替换为攻击者预设的钱包地址，从而实施加密货币欺诈。

📂 **Firefox 数据窃取能力：** 该恶意软件新增了信息窃取模块，专门用于外传 Firefox 存储的数据。通过下载并运行一个修改自 HackBrowserData 的 Mach-O 二进制文件，XCSSET 能够解密并导出包括密码、浏览记录、信用卡信息和 Cookies 在内的关键浏览器数据。

⚙️ **多阶段感染与持久化机制：** 新的 XCSSET 变种采用了四阶段的感染链。除了与先前版本一致的前三个阶段，第四阶段通过 `boot()` 函数下载并运行多个针对性子模块，例如 `xmyyeqjx` 模块，它能创建伪造的“系统设置”应用，写入 LaunchDaemon plist 文件，并设置 root 权限以实现强大的持久化。

🛡️ **规避检测的混淆与加密技术：** 为了逃避安全软件的检测，XCSSET 采用了多种加密和混淆技术。它使用仅运行模式的 AppleScript、AES 加密的 C2 配置，并对传输的数据进行分块处理，以减少本地留痕，增加分析难度。

HackerNews 编译，转载请注明出处：

微软威胁情报研究人员发现了一种新的 XCSSET macOS 恶意软件变种，已在有限范围的攻击中被使用。

研究人员指出，Trend Micro 最早在 2020 年发现了 XCSSET，当时它通过 Xcode 项目传播，并利用了两个零日漏洞，从目标系统中窃取敏感信息并发动勒索软件攻击。

新版本的 XCSSET 能够窃取 Firefox 数据并劫持剪贴板。它通过加密和混淆技术来规避检测，并能运行隐藏的 AppleScript。该恶意软件还支持通过 LaunchDaemon 条目实现额外的持久化机制。

报告写道：“这一变种包含一个用于监控剪贴板的子模块，并会引用一个下载的配置文件，该文件包含与各种数字钱包相关的地址正则表达式模式。如果检测到匹配，XCSSET 就能将剪贴板内容替换为攻击者预定义的钱包地址。”

更新后的阶段还会下载并运行多个新模块，使得该恶意软件相较于旧版本功能更为强大。

报告继续指出：“这一新变种增加了一个信息窃取模块，用于外传 Firefox 存储的数据。最初会调用 runMe() 函数，从 C2 服务器下载一个 Mach-O FAT 二进制文件，该文件负责所有信息窃取操作。该下载的二进制文件似乎是 GitHub 项目 HackBrowserData 的修改版，能够解密并导出浏览器存储的数据。密码、浏览记录、信用卡信息和 Cookies 是它能提取的关键信息，几乎覆盖所有主流浏览器。”

新的 XCSSET 变种实现了四阶段感染链。前三个阶段与先前版本一致。微软详细介绍了第四阶段，包括 boot() 函数及其相关调用，用于下载和运行子模块。

新的 XCSSET 变种包含多个针对性子模块：

1. vexyeqj（信息窃取器）：下载并运行已编译的 AppleScript（bnk），解密 C2 配置（AES），检查并外传剪贴板数据，并可将内容替换为攻击者的钱包地址。

2. bnk（载荷）：仅运行模式的 AppleScript，用于收集序列号/用户信息，验证/过滤剪贴板内容，加密并将数据发送至 C2。

3. neq_cdyd_ilvcmwx（文件窃取器）：从 C2 获取并运行额外的 AppleScript 以外传文件。

4. xmyyeqjx（LaunchDaemon 持久化）：创建 ~/.root，禁用 macOS 自动/快速更新，构建伪造的“系统设置”应用，写入 com.google.* LaunchDaemon plist，设置 root 权限并加载。

5. jey（混淆/持久化）：基于 shell 的载荷解密与执行，混淆能力增强。

6. iewmilh_cdyd（Firefox 窃取器）：下载一个 Mach-O 二进制文件（修改后的 HackBrowserData），导出 Firefox 的密码、Cookies、信用卡数据，并上传压缩结果。

这些模块普遍使用仅运行模式的 AppleScript、AES 加密的 C2 配置、加密货币欺诈式的剪贴板劫持、临时文件清理，以及分块外传以减少本地留痕。

消息来源：securityaffairs；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文