Подменяющий биткоин-адреса вредонос для macOS улучшил скрытность

Специалисты Microsoft Threat Intelligence обнаружили новый вариант вредоносного ПО XCSSET для устройств на базе macOS, которое может подменять криптовалютные кошельки. Распространяется малварь через зараженные проекты в среде разработки XCode.

Microsoft Threat Intelligence has uncovered a new variant of XCSSET, a sophisticated modular macOS malware that targets users by infecting Xcode projects, in the wild. While we’re only seeing this new XCSSET variant in limited attacks at this time, we’re sharing this information… pic.twitter.com/oWfsIKxBzB

— Microsoft Threat Intelligence (@MsftSecIntel) February 17, 2025

Обновленная версия получила улучшенные методы обфускации, дополнительные механизмы сохранения и стратегии заражения.

В частности, в качестве защиты от обнаружения новый вариант XCSSET использует более рандомизированный подход для генерации полезных нагрузок для заражения проектов XCode. 

«В то время как старые варианты использовали только xxd для кодирования, последний включает еще и Base64. На уровне кода имена модулей варианта также запутаны, что затрудняет определение намерений модулей», — сообщили эксперты. 

Впервые малварь обнаружили еще в 2020 году. В числе ее функций — возможность делать снимки экрана, записывать действия пользователей, красть сведения из Telegram-аккаунтов, данные из приложения Notes, а также системную информацию и файлы.

Помимо прочего, XCSSET способна изменять и подменять криптовалютные адреса в различных сетях.

Microsoft отметил, что обновленный вариант вредоноса пока применялся только в «ограниченных атаках». Тем не менее компания посчитала необходимым уведомить организации для предотвращения потенциальной угрозы.

Разработчикам рекомендовали тщательнее проверять любые загружаемые проекты XСode и устанавливать приложения исключительно из надежных источников.

Ранее ForkLog сообщал, что исследователи обнаружили похититель криптоключей в Steam-игре.