XCSSET新变种：专攻苹果macOS用户，实现窃密+勒索

微软威胁情报团队发现新型XCSSET macOS恶意软件变种

微软威胁情报研究人员发现了一个新版本的macOS恶意软件XCSSET，该变种已被用于有限范围的攻击活动中。趋势科技在2020年首次发现该恶意软件，当时它通过Xcode项目传播，并利用两个零日漏洞从目标系统窃取敏感信息及发动勒索软件攻击。

新变种的技术特征

新版XCSSET具备窃取Firefox数据与劫持剪贴板的能力。它采用加密和混淆技术规避检测，并秘密运行AppleScript脚本。该恶意软件还通过_LaunchDaemon_条目实现了额外的持久化机制。

微软报告指出："该变种包含一个专门监控剪贴板的子模块，并引用包含各类数字钱包地址正则表达式的配置文件。当检测到匹配模式时，XCSSET能够将剪贴板内容替换为攻击者预设的钱包地址。"

功能扩展与数据窃取

相比旧版本，更新后的攻击阶段会下载并运行多个新模块以扩展功能。报告进一步说明："新变种增加了专门窃取Firefox存储数据的信息窃取模块。首先调用runMe()函数从C2服务器下载一个Mach-O FAT二进制文件，该文件负责执行所有信息窃取操作。这个二进制文件似乎是GitHub项目HackBrowserData的修改版本，能够解密并导出浏览器存储的数据，包括密码、历史记录、信用卡信息和Cookies等几乎所有主流浏览器的关键数据。"

四阶段感染链分析

新版XCSSET采用四阶段感染链，前三个阶段与先前变种一致。微软详细披露了第四阶段，包含_boot()_函数及其相关调用，用于下载和运行子模块。

核心功能模块解析

新变种包含多个针对性功能模块：

• vexyeqj（信息窃取）：下载运行编译后的AppleScript（bnk），解密C2配置（AES加密），检查并窃取剪贴板数据，可替换为攻击者钱包地址
• bnk（有效载荷）：仅执行型AppleScript，收集序列号/用户信息，验证/过滤剪贴板内容，加密数据并发送至C2服务器
• neq_cdyd_ilvcmwx（文件窃取）：从C2获取并运行额外AppleScript以窃取文件
• xmyyeqjx（LaunchDaemon持久化）：创建~/.root目录，禁用macOS自动/快速更新，构建虚假系统设置应用，写入com.google.*LaunchDaemon plist文件，设置root权限并加载
• jey（混淆/持久化）：基于shell的有效载荷解密执行，采用增强型混淆技术
• iewmilh_cdyd（Firefox窃取）：下载Mach-O二进制文件（修改版HackBrowserData）以导出Firefox密码、Cookies、信用卡数据，并上传压缩结果

防御建议

为应对此威胁，建议采取以下防护措施：

1. 及时更新操作系统和应用程序，立即应用安全补丁
2. 仔细检查代码仓库中的Xcode项目，避免使用受感染代码
3. 粘贴前验证剪贴板内容，防止劫持攻击
4. 使用Microsoft Edge等配备SmartScreen的浏览器拦截恶意网站
5. 在Mac设备安装Microsoft Defender for Endpoint进行恶意软件检测与隔离
6. 在Defender中启用云保护、自动样本提交、潜在不受欢迎程序(PUA)保护和网络保护功能，阻断威胁和不需要的应用程序，限制访问恶意域名

该恶意软件采用仅执行型AppleScript、AES加密的C2配置、针对加密货币诈骗的剪贴板劫持等技术，并通过临时文件清理和分块窃取数据来减少本地痕迹。