XCSSET macOS恶意软件现新变种 新增浏览器攻击与剪贴板劫持功能

微软威胁情报报告称，在小规模攻击中检测到XCSSET macOS恶意软件的新变种。该变种新增多项功能，包括强化浏览器定向攻击、剪贴板劫持及改进的持久化机制。

XCSSET是一款模块化macOS恶意软件，兼具信息窃取与加密货币窃取功能，可从受感染设备中窃取“备忘录”数据、加密货币钱包信息及浏览器数据。

其传播方式为：搜索设备中存储的其他Xcode项目并植入恶意代码，待目标项目编译构建时，恶意软件便会随之执行。

据悉，XCSSET恶意软件专门针对软件开发人员常用的Xcode项目进行感染，并在Xcode项目编译构建过程中启动运行。据微软评估认为，这种感染与传播模式，利用的是开发苹果或macOS相关应用的开发者之间共享项目文件的行为。

新变种的核心升级点

微软观察到该新变种存在多项关键改动，攻击能力显著增强：

1.  扩展浏览器数据窃取范围：新变种通过安装经篡改的开源工具HackBrowserData构建版本，尝试窃取Firefox浏览器数据。该工具可从浏览器数据存储区中解密并导出数据。

2.  升级剪贴板劫持组件：新增的剪贴板监控功能会扫描macOS剪贴板中与加密货币地址相关的正则表达式模式。

一旦检测到加密货币地址，就会将其替换为攻击者控制的地址——这意味着受感染设备上的用户发起的加密货币转账，会被篡改为向攻击者地址转账。

攻击者与剪贴板劫持者使用的加密货币地址

3.  新增持久化手段：包括创建LaunchDaemon条目以执行~/.root恶意载荷，以及在/tmp目录中伪造“系统设置.app（System Settings.app）”，以此伪装自身活动，确保设备重启后仍能维持恶意驻留。

攻击现状与防御建议

目前该新变种尚未广泛传播，微软表示仅在小规模攻击中发现其踪迹。研究人员已向Apple通报相关发现，并正与GitHub合作移除相关恶意代码仓库。

为防范此类恶意软件，建议采取以下措施：

·及时更新macOS系统及各类应用——鉴于XCSSET此前曾利用包括零日漏洞在内的多个漏洞发起攻击，版本更新是关键防护手段；

·开发者在编译Xcode项目前，务必仔细检查项目内容，尤其是接收他人共享的项目文件时，更需严格核验安全性。