近日，微軟威脅情報(bào)中心在社交媒體平臺(tái)上發(fā)布了一則重要安全警報(bào)，揭示了一種針對(duì)macOS系統(tǒng)的新型惡意軟件變種——XCSSET。據(jù)悉，這款惡意軟件最初于2022年被發(fā)現(xiàn)，而此次曝光的新變種，盡管尚未造成大規(guī)模攻擊，但其采用的感染Xcode項(xiàng)目的手段，已經(jīng)對(duì)用戶安全構(gòu)成了嚴(yán)峻挑戰(zhàn)。

據(jù)微軟威脅情報(bào)中心的詳細(xì)描述，新版XCSSET惡意軟件不僅繼承了前代竊取數(shù)字錢(qián)包、Notes應(yīng)用數(shù)據(jù)、系統(tǒng)信息及文件的“技能”，更在隱蔽性上實(shí)現(xiàn)了質(zhì)的飛躍。通過(guò)升級(jí)Payload混淆技術(shù)和模塊名稱混淆策略，新變種成功躲避了眾多安全軟件的檢測(cè)，進(jìn)一步提升了其潛藏的威脅。

在技術(shù)手段上，新變種XCSSET采用了更為隨機(jī)的payload生成機(jī)制，結(jié)合x(chóng)xd（hexdump）和Base64編碼技術(shù)，使得惡意代碼在傳輸和存儲(chǔ)過(guò)程中更加難以被識(shí)別。同時(shí)，在代碼層面，新變種對(duì)模塊名稱進(jìn)行了深度混淆，大大增加了逆向分析的難度，為安全研究人員帶來(lái)了不小的挑戰(zhàn)。

為了確保惡意軟件能夠在受感染系統(tǒng)中長(zhǎng)期潛伏，新變種XCSSET還采取了“zshrc”潛伏和“dock”偽裝兩大策略。通過(guò)修改shell會(huì)話文件，實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)；同時(shí)，利用dockutil工具偽造Launchpad應(yīng)用，誘騙用戶點(diǎn)擊，從而啟動(dòng)惡意代碼。這些手段無(wú)疑大大增強(qiáng)了XCSSET的持久化駐留能力。

XCSSET新變種還提供了多種將惡意代碼植入Xcode項(xiàng)目的方式。無(wú)論是TARGET、RULE還是FORCED_STRATEGY等選項(xiàng)，新變種都能輕松應(yīng)對(duì)，甚至還能藏匿于構(gòu)建設(shè)置的TARGET_DEVICE_FAMILY值下，進(jìn)一步增加了其隱蔽性和攻擊范圍。

面對(duì)這一新型惡意軟件變種的威脅，微軟威脅情報(bào)中心提醒廣大macOS用戶，務(wù)必保持警惕，加強(qiáng)安全防護(hù)措施。同時(shí)，也建議開(kāi)發(fā)者在開(kāi)發(fā)Xcode項(xiàng)目時(shí)，加強(qiáng)對(duì)代碼的安全審查，以避免成為XCSSET的攻擊目標(biāo)。