Variante du logiciel malveillant XCSSET
Des chercheurs ont identifié une nouvelle variante du malware macOS XCSSET, marquant sa première itération connue depuis 2022. Cette version mise à jour a été observée dans des attaques limitées, présentant des techniques d'obfuscation améliorées, des mécanismes de persistance améliorés et de nouvelles stratégies d'infection. Ces avancées s'appuient sur les capacités existantes de XCSSET, qui incluent la compromission de portefeuilles numériques, l'extraction de données de l'application Notes et l'exfiltration d'informations système sensibles.
Table des matières
Une menace persistante depuis 2020
XCSSET est apparu pour la première fois en août 2020 en tant que menace modulaire pour macOS qui se propageait principalement en infectant les projets Xcode d'Apple. Au fil du temps, le malware a évolué, s'adaptant aux nouvelles versions de macOS et même aux chipsets M1 d'Apple. À la mi-2021, les chercheurs en cybersécurité ont découvert que XCSSET avait été modifié pour siphonner des données de diverses applications, notamment Google Chrome, Telegram, Evernote, Opera, Skype, WeChat et les applications natives d'Apple comme Contacts et Notes.
Exploiter les vulnérabilités à des fins de surveillance
L'un des aspects les plus inquiétants de l'évolution de XCSSET est sa capacité à exploiter les vulnérabilités pour étendre sa portée. En 2021, des chercheurs ont découvert que le malware exploitait CVE-2021-30713, un bug de contournement du framework Transparency, Consent and Control (TCC). En exploitant cette faille, XCSSET a pu capturer des captures d'écran du bureau de la victime sans avoir besoin d'autorisations supplémentaires, démontrant ainsi sa capacité à exploiter les failles de sécurité.
Suivre le rythme des mises à jour de macOS
Même après la révélation publique de ses capacités, XCSSET a continué d'évoluer. Plus d'un an après sa mise à jour de 2021, le malware a reçu une autre révision pour assurer la compatibilité avec macOS Monterey. Malgré les efforts continus de recherche et de surveillance, l'origine de XCSSET reste un mystère, ce qui en fait une préoccupation persistante pour les utilisateurs de macOS.
Obfuscation et persistance : les dernières avancées
La dernière version de XCSSET vise à rendre la détection et la suppression plus difficiles. Grâce à des techniques d'obfuscation avancées et à des mécanismes de persistance renforcés, le malware est conçu pour échapper aux analyses de sécurité tout en garantissant qu'il reste actif. L'une de ses dernières astuces consiste à se lancer automatiquement à chaque nouvelle session shell, renforçant ainsi son emprise sur les systèmes infectés.
Manipulation du Dock macOS pour une exécution furtive
Parmi les nouvelles méthodes employées par XCSSET pour la persistance figure la manipulation du Dock macOS. Le malware télécharge une version signée de l'utilitaire dockutil à partir d'un serveur de commande et de contrôle pour gérer les éléments du Dock. Il crée ensuite une application Launchpad contrefaite et remplace le chemin d'accès du Launchpad légitime dans le Dock. Par conséquent, chaque fois qu'un utilisateur lance Launchpad, l'application légitime et la charge utile menaçante sont exécutées, ce qui permet au malware de fonctionner sans être détecté.
Une menace persistante sans origine claire
La réapparition de XCSSET souligne l’adaptabilité et la résilience des menaces macOS. À chaque nouvelle version, il affine ses tactiques pour garder une longueur d’avance sur les défenses de sécurité, ce qui rend une vigilance continue essentielle. Bien que ses origines restent inconnues, une chose est claire : XCSSET continue d’être un formidable défi pour les professionnels de la cybersécurité et les utilisateurs de macOS.
