近期，微軟威脅情報(bào)中心在社交媒體平臺(tái)上發(fā)布了一條重要安全警報(bào)，揭示了一種針對(duì)macOS系統(tǒng)的新型惡意軟件變種——XCSSET。據(jù)悉，這款?lèi)阂廛浖兎N最早于2022年被發(fā)現(xiàn)，盡管其攻擊范圍相對(duì)有限，但其獨(dú)特的感染機(jī)制已對(duì)用戶(hù)數(shù)據(jù)安全構(gòu)成了嚴(yán)峻挑戰(zhàn)。

XCSSET變種的功能異常強(qiáng)大，它不僅能夠竊取用戶(hù)的數(shù)字錢(qián)包信息、Notes應(yīng)用數(shù)據(jù)、系統(tǒng)信息及文件，還通過(guò)一系列技術(shù)手段增強(qiáng)了其隱蔽性。具體而言，該惡意軟件采用了更為復(fù)雜的Payload混淆技術(shù)和模塊名稱(chēng)混淆策略，使得安全軟件難以有效檢測(cè)。XCSSET還引入了更為隨機(jī)的payload生成方式，結(jié)合x(chóng)xd（hexdump）和Base64編碼技術(shù)，進(jìn)一步提升了其逃避安全檢測(cè)的能力。

為了在被感染系統(tǒng)中實(shí)現(xiàn)長(zhǎng)期潛伏，XCSSET變種采取了多種策略。一方面，它通過(guò)修改用戶(hù)的shell會(huì)話(huà)文件（zshrc），實(shí)現(xiàn)了開(kāi)機(jī)自啟動(dòng)，從而確保惡意軟件能夠隨系統(tǒng)一同啟動(dòng)。另一方面，XCSSET還利用dockutil工具偽造Launchpad應(yīng)用程序，誘導(dǎo)用戶(hù)點(diǎn)擊并啟動(dòng)惡意代碼，以此實(shí)現(xiàn)更為隱蔽的持久化駐留。

尤為值得關(guān)注的是，XCSSET變種提供了多種將惡意代碼植入Xcode項(xiàng)目的方式。這些方式包括但不限于TARGET、RULE和FORCED_STRATEGY等，使得開(kāi)發(fā)者在構(gòu)建設(shè)置中難以察覺(jué)其存在。更為狡猾的是，XCSSET還能隱藏在構(gòu)建設(shè)置的TARGET_DEVICE_FAMILY值下，進(jìn)一步增加了其被發(fā)現(xiàn)的難度。

此次微軟威脅情報(bào)中心發(fā)布的警報(bào)，再次提醒了廣大macOS用戶(hù)和開(kāi)發(fā)者，必須高度警惕此類(lèi)新型惡意軟件變種所帶來(lái)的安全威脅。鑒于XCSSET變種能夠通過(guò)感染Xcode項(xiàng)目來(lái)竊取用戶(hù)數(shù)據(jù)和信息，用戶(hù)和開(kāi)發(fā)者需加強(qiáng)安全意識(shí)，采取有效防護(hù)措施，以確保個(gè)人和企業(yè)的數(shù)據(jù)安全不受侵害。