XCSSET恶意软件再度进化：最新变种技术深度分析

概述

微软威胁情报团队在野外发现了XCSSET恶意软件的又一个新变种，该变种在2025年3月博客文章详述内容基础上引入了进一步更新和新模块。XCSSET恶意软件专门设计用于感染通常由软件开发人员使用的Xcode项目，并在Xcode项目构建时运行。我们评估这种感染和传播模式依赖于在构建Apple或macOS相关应用程序的开发者之间共享项目文件。

这个新的XCSSET变种带来了与浏览器目标定位、剪贴板劫持和持久化机制相关的关键变化。它采用复杂的加密和混淆技术，使用仅运行编译的AppleScript实现隐蔽执行，并将其数据外泄能力扩展到包括Firefox浏览器数据。它还通过LaunchDaemon条目添加了另一个持久化机制。

技术分析

感染链第四阶段

最新XCSSET变种遵循四阶段感染链。前三个阶段与之前变种中观察到的保持一致。分析从第四阶段开始，包括boot()函数及其相关的下载和运行子模块调用。

新变种boot函数修改：

• 增加了对Firefox浏览器的额外检查
• 修改了Telegram存在检查逻辑
• 下载并执行多个新模块

信息窃取模块(vexyeqj)

与之前变种相比，此脚本中的几个命令被注释掉。此外，它下载一个名为bnk的模块，使用osascript执行，并将域作为参数提供。然后等待三秒并删除下载的文件。

bnk文件是一个仅运行编译的AppleScript。虽然直接反编译此类脚本通常具有挑战性，但可以使用GitHub上的AppleScript反汇编器项目进行分析。

该脚本定义了多个函数，用于数据验证、加密、解密、从C2服务器获取额外数据和日志记录等目的。

解密函数分析： 加密数据存储在变量in中，前32个字符被提取作为初始化向量(IV)。剩余数据经过Base64解码并提供给AES解密函数。解密密钥是预定义常量27860c1670a8d2f3de7bbc74cd754121。

解密后的配置数据示例：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

{
  "bad": ["Telegram", "Notes", "WeChat"],
  "s": "pattern_for_matching",
  "sub": [
    {
      "a": ["attacker_address_1", "attacker_address_2"],
      "t": "wallet_identifier",
      "r": "regex_pattern",
      "ir": "negative_regex",
      "p": "counter_index"
    }
  ]
}

剪贴板劫持逻辑

核心逻辑首先从C2服务器获取配置数据，解密并存储。然后执行shell命令检索序列号和当前用户。

剪贴板内容通过检查AEVT代码确定。进程识别最前端的应用程序，与C2响应中"bad"属性定义的阻止列表进行核对。仅当当前剪贴板数据与最后剪贴板条目和最后替换的剪贴板数据都不同，剪贴板数据长度超过25个字符，且oD()函数不返回true时，处理才会继续。

处理包含多个条件和检查：

• 第一个条件检查剪贴板长度是否在50-300字符之间
• 检查剪贴板是否匹配响应中s记录定义的模式
• 如果匹配，剪贴板数据格式化为记录类型字符串并外泄到C2服务器

第二个条件检查剪贴板长度是否在25-65字符之间，是否使用单个参数执行，以及cD()函数返回值是否大于1。如果满足条件，脚本遍历C2响应中的子集合，其中包含各个钱包的单独条目。

LaunchDaemon持久化模块(xmyyeqjx)

此子模块为~/.root文件设置LaunchDaemon持久化。脚本创建多个路径和~/.root文件，其中包含执行以下操作的payload：

• 更改目录到/Users/Shared
• 检查网络连接
• 检索本地登录用户
• 休眠30秒
• 在登录用户上下文中执行~/.zshrc文件
• 再次休眠30秒
• 修改两个配置以执行禁用macOS自动配置更新和快速安全响应机制的系统命令

doMainFunc()函数检查LaunchDaemon条目是否存在。如果未找到，则从C2服务器下载另一个脚本，同样是仅运行编译的AppleScript。它在/tmp目录中创建名为System Settings.app的虚假应用程序，基本上执行此下载的AppleScript并带有两个参数。

Firefox信息窃取模块(iewmilh_cdyd)

此新变种增加了信息窃取模块以外泄Firefox存储的数据。首先调用runMe()函数从C2服务器下载Mach-O FAT二进制文件，该文件负责所有信息窃取操作。

下载的二进制文件似乎是GitHub项目HackBrowserData的修改版本，能够解密和导出浏览器存储的数据。密码、历史记录、信用卡信息和cookie是它可以从几乎所有流行浏览器中提取的关键信息。

下载后，二进制文件被授予可执行文件权限，在受害者机器上进行临时签名，并使用参数执行：

1

-b firefox -f json --dir [目录] --zip

防护指南

防御者可以采取以下缓解措施来防御此威胁：

• 运行最新版本的操作系统和应用程序，尽快部署最新的安全更新
• 始终检查和验证从存储库下载或克隆的Xcode项目
• 在复制和粘贴剪贴板中的敏感数据时保持谨慎
• 鼓励用户使用支持Microsoft Defender SmartScreen的Web浏览器
• 使用Microsoft Defender for Endpoint on Mac检测、阻止和隔离此恶意软件

威胁指标(IOC)

C2服务器域名： cdntor.ru, checkcdn.ru, cdcache.ru, applecdn.ru, flowcdn.ru, elasticdns.ru, rublenet.ru, figmastars.ru, bulksec.ru, adobetrix.ru, figmacat.ru, digichat.ru, diggimax.ru, cdnroute.ru, sigmanow.ru, fixmates.ru, mdscache.ru, trinitysol.ru, verifysign.ru, digitalcdn.ru, windsecure.ru, adobecdn.ru

SHA-256哈希：

• 12ea52c4089d100e679a2350f03e598b2f3feebfbbd2ed5631a2a7a20b07e826 (/tmp/ancr)
• 5a212c5ce1e0f41e721ce0940afb381b694a2e32a6d19c1d2210f703636362df (/tmp/b)
• 0fbd0e1995472f308cf1ac8229a02c277035404426769fa50947a72c95ad7d31 (jey)
• f3bc158619b2aad17def966f0ac8dddc2107e4911a7c488d358d906f27ac2a2b (/tmp/xmyyeqjx)