كشف باحثو الأمن لدى فريق Microsoft Threat Intelligence عن نسخة محدثة من برمجية macOS المعروفة XCSSET رُصِدت في هجمات محدودة، وتضمّنت تغييرات جوهرية في استهداف المتصفحات، واعتراض الحافظة (clipboard hijacking)، وآليات الثبات. تعتمد السلالة على تقنيات تشفير وإخفاء معقّدة، وتستخدم AppleScript مُجمّع للتنفيذ الخفي، ما يزيد من صعوبة كشفها أثناء سير بناء مشاريع Xcode.
قناة العدوى وسلاسل الإمداد المطوّرة
تُعد XCSSET برمجية معيارية تُصيب مشاريع Xcode الخاصة بمطوّري التطبيقات وتتفعل أثناء عملية البناء. لا تزال طريقة الانتشار الدقيقة غامضة، لكن يُشتبه بأن المشاركة أو استنساخ ملفات مشاريع Xcode بين المطورين يسهم في نشرها. شهدت النسخة الحالية تعديلات في المرحلة الرابعة من سلسلة العدوى، حيث يُستخدم تطبيق AppleScript لتشغيل أمر shell لجلب AppleScript نهائي يجمع معلومات النظام ويشغّل وحدات فرعية عبر دالة boot().
قدرات الاعتراض المالي واستهداف Firefox
أضافت النسخة الحديثة وحدة clipper تراقب محتوى الحافظة بحثًا عن أنماط تعبيرية (regex) تطابق عناوين محافظ العملات المشفّرة؛ وعند التطابق تستبدل العنوان بعنوان مسيطر عليه من قبل المهاجم لإعادة توجيه المعاملات. كما وسّعت البرمجية قدرات الاست exfiltration لتشمل بيانات متصفح Mozilla Firefox عبر وحدة مُعدلة قائمة على أداة عامة اسمها HackBrowserData. من الوحدات الجديدة والمعدّلة أيضًا:
-
vexyeqj (سابقًا seizecj) التي تنزل وحدة تدعى bnk وتُشغلها عبر osascript، وتضم وظائف التشفير وفك التشفير والتواصل مع C2، بما في ذلك وظيفة clipper.
-
neq_cdyd_ilvcmwx شبيهة بـ txzx_vostfdi وتُرسل ملفات إلى خادم القيادة والتحكم.
-
xmyyeqjx لإعداد ثبات عبر LaunchDaemon.
-
jey (سابقًا jez) لإعداد ثبات قائم على Git.
-
iewmilh_cdyd لسرقة بيانات Firefox باستخدام نسخة معدّلة من HackBrowserData.
التوصيات والتخفيف
لتقليل خطر XCSSET يُنصح بما يلي:
-
إبقاء أنظمة macOS وXcode مُحدَّثة دائمًا.
-
فحص مشاريع Xcode التي تُحمّل أو تُستنسخ من مستودعات أو مصادر خارجية قبل البناء.
-
توخي الحذر عند نسخ/لصق بيانات حساسة من الحافظة والابتعاد عن لصق عناوين محافظ مباشرة من مصادر غير موثوقة.
أشار Sherrod DeGrippo من Microsoft إلى أن أسماء الوحدات تتغير باستمرار بينما تبقى الوظائف الأساسية ثابتة، مؤكِّدًا أن اعتراض الحافظة المرتبط بالمحافظ الرقمية يمثل تهديدًا عمليًا يقوّض الثقة في عملية النسخ واللصق البسيطة.
