نسخة جديدة من XCSSET على macOS تستهدف Firefox بموديول قَصّاص ومحرك بقاء جديد

سلالة جديدة من XCSSET على macOS تستهدف متصفح Firefox بوظائف استبدال محافظ ومكوّن ثبات جديد
سلالة جديدة من XCSSET على macOS تستهدف متصفح Firefox بوظائف استبدال محافظ ومكوّن ثبات جديد
شارك هذا الخبر

كشف باحثو الأمن السيبراني عن نسخة مُحدّثة من برمجية macOS الخبيثة المعروفة XCSSET، رُصِدَت في هجمات محدودة لكنها تحمل تغييرات جوهرية. وبيّن تقرير فريق استخبارات التهديدات لدى مايكروسوفت أن النسخة الجديدة تضيف قدرات استهداف متصفحات جديدة، واختطاف الحافظة (clipper)، وآليات ثبات (persistence) موسّعة باستخدام LaunchDaemon وتقنيات أخرى للتثبّت على النظام. كما أشارت الشركة إلى أن البرمجية تستخدم تشفيرًا وتشويشًا متقدّمًا، وتنفذ أجزاءً من الشيفرة عبر AppleScripts مضمّنة بصيغة تشغيل فقط (run-only) لتحقيق قدر أكبر من التخفي.

كيف تنتشر XCSSET ومراحل العدوى

تُصنّف XCSSET بوصفها برمجية معيارية (modular) تُصيب مشاريع Xcode للمطوّرين وتُفعّل قدراتها الخبيثة أثناء بناء التطبيق. لا تزال طريقة الانتشار الدقيقة غير محسومة تمامًا، لكنّ الظن قائم على مشاركة ملفات مشاريع Xcode بين المطوّرين كوسيلة انتقال. وأظهرت التحقيقات أن الإصدار الأحدث يفرض تغييرات في المرحلة الرابعة من سلسلة العدوى، حيث يُشغّل تطبيق AppleScript أمر شل لتحميل سكربت نهائي يجمع معلومات النظام ويطلق الموديولات الفرعية عبر دالة boot().

ميزات القَصاص (clipper) ومكونات جديدة لسرقة البيانات

أدمجت النسخة الجديدة موديولًا للقصّاص يراقب محتوى الحافظة بحثًا عن أنماط عناوين محافظ العملات المشفرة (regex). عند مطابقته، يستبدل العنوان في الحافظة بعنوان يسيطر عليه المهاجم لإعادة توجيه المعاملات. كما رصد الباحثون موديولات جديدة وغير سابقة مثل:

  • vexyeqj (سابقًا seizecj) — موديول معلومات ينزل موديولًا آخر باسم bnk ويشغّله عبر osascript، ويضم وظائف تحقق بيانات وتشفير/فك تشفير وجلب بيانات من خادم التحكم وتسجيل الأحداث، ويشمل وظيفة القصّاص.

  • neq_cdyd_ilvcmwx — موديول يشبه txzx_vostfdi ويقوم بتسريب ملفات إلى خادم C2.

  • xmyyeqjx — موديول لإعداد ثبات عبر LaunchDaemon.

  • jey — موديول لإعداد ثبات عبر بيئات Git (Git-based persistence).

  • iewmilh_cdyd — موديول لسرقة بيانات من متصفح Firefox باستخدام نسخة معدلة من أداة عامة معروفة باسم HackBrowserData.

توصيات التخفيف والحماية

ينصح الباحثون والمختصون بالإجراءات التالية للحد من خطر XCSSET:

  • تحرّي تحديثات النظام وبرمجيات التطوير (macOS وXcode) وتثبيتها فور صدورها.

  • فحص وحصر ملفات مشاريع Xcode المنقولة أو المستنسخة من مستودعات خارجية قبل البناء.

  • توخي الحذر عند نسخ/لصق عناوين محافظ العملات الرقمية وعدم الاعتماد الأعمى على المحتوى المخزّن في الحافظة.

  • مراقبة سجلات النظام لاكتشاف عمليات LaunchDaemon أو سلوك AppleScript المشتبه فيه، واستخدام حلول كشف الاستغلال وسلاسل التزويد (supply-chain) المناسبة.

وسوم
محمد وهبى
محمد وهبى
المقالات: 551

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة