Microsoft Threat Intelligence (Microsoft Security Blog) publie une analyse d’une nouvelle variante du malware macOS XCSSET, axée sur l’infection d’environnements de développement Xcode et l’extension de ses capacités d’exfiltration et de persistance.

• Le malware introduit une chaîne d’infection en quatre étapes et des modules mis à jour. Il se propage via des projets Xcode partagés entre développeurs 👨‍💻. Il renforce la furtivité en utilisant des AppleScripts compilés en mode run‑only et des communications C2 chiffrées en AES avec une clé prédéfinie.

• Nouvelles capacités clés: hijacking du presse‑papiers pour substituer des adresses de portefeuilles de crypto‑monnaies (détection par regex chargées depuis des fichiers de configuration) 🪙✂️; exfiltration élargie des données de navigateurs, via l’intégration d’un outil HackBrowserData modifié ciblant Firefox; désactivation de Rapid Security Response et des mises à jour automatiques de macOS 🔧.

• Persistance et évasion: ajout de mécanismes via LaunchDaemon se faisant passer pour des composants légitimes (préfixe com.google.), maintien par daemons système et même commits Git. Les charges utiles AppleScript run‑only compliquent l’analyse et la détection 🕵️.

• Le focus reste le monde des développeurs macOS, avec une distribution par partage de projets Xcode, ce qui facilite la dissémination silencieuse entre équipes.

Indicateurs et TTPs

  • IOCs:

    • Clé AES C2 prédéfinie: 27860c1670a8d2f3de7bbc74cd754121
    • Schéma de persistance LaunchDaemon: labels avec préfixe com.google.

  • TTPs (extraits):

    • Propagation via projets Xcode partagés
    • C2 chiffré AES avec clé codée en dur
    • Clipboard hijacking avec regex de correspondance d’adresses crypto
    • Exfiltration de données de navigateur (intégration de HackBrowserData modifié pour Firefox)
    • AppleScript run‑only pour l’obfuscation
    • Désactivation de Rapid Security Response et des mises à jour automatiques
    • Persistance: LaunchDaemon (déguisé), daemons système, commits Git

Type d’article: analyse de menace détaillant les nouvelles capacités et mécanismes d’infection/persistance de XCSSET.

🧠 TTPs et IOCs détectés

TTPs

[‘Propagation via projets Xcode partagés’, ‘C2 chiffré AES avec clé codée en dur’, ‘Clipboard hijacking avec regex de correspondance d’adresses crypto’, ‘Exfiltration de données de navigateur (intégration de HackBrowserData modifié pour Firefox)’, ‘AppleScript run-only pour l’obfuscation’, ‘Désactivation de Rapid Security Response et des mises à jour automatiques’, ‘Persistance: LaunchDaemon (déguisé), daemons système, commits Git’]

IOCs

[‘Clé AES C2 prédéfinie: 27860c1670a8d2f3de7bbc74cd754121’, ‘Schéma de persistance LaunchDaemon: labels avec préfixe com.google.’]

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2025/09/25/xcsset-evolves-again-analyzing-the-latest-updates-to-xcssets-inventory/

🖴 Archive : https://web.archive.org/web/20250926145643/https://www.microsoft.com/en-us/security/blog/2025/09/25/xcsset-evolves-again-analyzing-the-latest-updates-to-xcssets-inventory/