Microsoft Uncovers New XCSSET macOS Malware Variant with Advanced Obfuscation Tactics
- XCSSET 최신 변종 발견
- 마이크로소프트 위협 인텔리전스 팀이 XCSSET 멀웨어의 새로운 변종을 발견
- 2022년 이후 첫 변종으로, 강화된 은폐 기법과 업데이트된 지속성 메커니즘, 새로운 감염 전략을 특징으로 함
- 기존 XCSSET 멀웨어의 기능
- 디지털 지갑을 겨냥하고, Notes 앱에서 데이터를 수집하며 시스템 정보 및 파일을 외부로 유출
- Google Chrome, Telegram, Evernote, Opera, Skype, WeChat, Apple Contacts 및 Notes 앱을 포함한 다양한 앱의 데이터 탈취 가능
- CVE-2021-30713 취약점을 악용해 TCC(투명성, 동의, 제어) 프레임워크를 우회하여 추가 권한 없이 피해자의 데스크톱 스크린샷을 촬영할 수 있음
- 새로운 변종의 주요 특징
- 고급 은폐 기술 적용으로 분석을 어렵게 함
- 새로운 지속성 메커니즘 사용으로 모든 셸 세션이 시작될 때마다 멀웨어가 자동 실행
- 서명된
dockutil유틸리티를 명령제어(C2) 서버에서 다운로드하여 Dock 항목을 관리 - 가짜 Launchpad 애플리케이션을 만들어 Dock에서 실제 Launchpad의 경로를 대체, 실행 시 정상 앱과 악성 페이로드가 동시에 실행되도록 만듬
- 보안 권고
- Xcode 프로젝트를 다운로드하거나 클론할 때 항상 검토 및 확인해야 함
- 신뢰할 수 있는 출처(예: 공식 앱 스토어)를 통해서만 애플리케이션을 설치해야 함
- 감염 예방을 위해 애플리케이션의 디지털 서명과 출처를 확인
- 결론
- XCSSET 변종의 고도화된 은폐 기술과 지속성 메커니즘은 macOS 환경에서 분석을 어렵게 하고 지속적인 위협을 제기
- 개발자와 사용자 모두 주의가 필요하며, macOS 보안 설정과 애플리케이션 사용 정책을 강화해야 함
- 기업 내 보안팀은 macOS 시스템에 대한 포렌식 분석과 실시간 모니터링을 통해 악성 활동을 조기에 탐지할 필요가 있음
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| whoAMI 공격: AWS 계정 내 원격 코드 실행 가능성 경고 (0) | 2025.03.02 |
|---|---|
| Golang 기반 백도어, Telegram Bot API 활용한 은밀한 C2 통신 수행 (0) | 2025.03.02 |
| 클라우드 마이그레이션 실패를 피하는 전략 (0) | 2025.03.01 |
| 새로운 위협 징후의 선제적 감지와 효과적인 이상 탐지 구현법 (0) | 2025.03.01 |
| 최근 글로벌 사이버 보안 동향 (2025.02.18.) (0) | 2025.03.01 |