لاحظت Microsoft البرامج الضارة MacOS نائمة سابقًا والتي أصبحت نشطة مرة أخرى في متغير جديد يستهدف أجهزة Apple من جميع الأنواع.
تشارك Microsoft Threat Intelligence معلومات حول البرامج الضارة في منشور على X ، مما يشير إلى أنه إصدار جديد من XCSSES “
كشفت Microsoft Threat Intelligence عن متغير جديد من XCSSEST ، وهو برنامج ضار MACOS المعدل المتطور الذي يستهدف المستخدمين عن طريق إصابة مشاريع XCODE ، في البرية. على الرغم من أننا نشهد فقط هذا البديل الجديد XCSSEST في هجمات محدودة في هذا الوقت ، إلا أننا نشارك هذه المعلومات … pic.twitter.com/owfsikxbzb
– Microsoft Threat Intelligence (msftsecintel) 17 فبراير 2025
لاحظ TechRadar أن البرامج الضارة XCSSESS هي في الأساس Infostealer ، مع القدرة على مهاجمة المحافظ الرقمية ، وجمع البيانات من تطبيق Apple Notes ، وجمع معلومات النظام والملفات.
البرامج الضارة خطرة بشكل خاص لأنها تستخدم المشاريع المصابة في منصة Xcode من Apple للتسلل إلى الأجهزة. Xcode هي بيئة التطوير المتكاملة الرسمية (IDE) التي توفرها Apple لإنشاء التطبيقات لأنظمة التشغيل المختلفة ، بما في ذلك MacOS و IOS و iPados و WatchOS و TVOS. وأضاف المنشور أن البيئة تتضمن محرر رمز ، وتصحيح الأخطاء ، وباني الواجهة ، وأدوات للاختبار ونشر التطبيقات.
كما قيل ، يتضمن متغير XCSSEST المحدث العمليات ، مما يسمح للبرامج الضارة بحجب نفسها بشكل أفضل داخل XCODE. للقيام بذلك ، يستخدم تقنيتين ، يسمى “ZSHRC” و “Dock”. يسمح الهجوم الأول للبرامج الضارة بإنشاء ملف ، ~/.zshrc_aliases ، الذي يحمل البيانات المصابة. ثم يضيف أمرًا في ملف ~/.zshrc ، والذي سيطالب الملف المصاب بإطلاقه في كل مرة يتم فيها بدء جلسة shell جديدة. سيضمن ذلك أن يستمر البرامج الضارة في الانتشار بجلسات قذيفة إضافية.
مع الهجوم الثاني ، تقوم البرامج الضارة بتنزيل “أداة Dockutil موقعة من خادم الأوامر والسيطرة لإدارة عناصر Dock” ، أوضح Microsoft. بعد ذلك ، ينشئ تطبيق LaunchPad المزيف لاستبدال إدخال المسار لتطبيق LaunchPad الفعلي على رصيف الجهاز. عندما يقوم المستخدم بتشغيل برنامج LaunchPad على جهاز مصاب ، سيتم تنفيذ تطبيق LaunchPad الفعلي وإصدار البرامج الضارة ، مما يؤدي إلى نشر XCSSEST بشكل فعال.
أوضح Microsoft That Intelligence أنه لم يشهد سوى متغير البرامج الضارة الجديدة “في هجمات محدودة” ، وهو يشارك معلومات حول التهديد حتى يتمكن المستخدمون والمؤسسات من اتخاذ تدابير احترازية.