Un autre palier qualitatif dans la conception des malwares pour macOS a été franchi avec la découverte par l’équipe de chercheurs de Trend Micro de ce spécimen nommé XCSSET

Informations techniques XCSSET par Trend Micro - Copie locale Informations techniques XCSSET

Même si l’exploitation de l’environnement de développement Xcode n’est pas nouvelle dans la pratique (par ex. l’attaque XcodeGhost de 2015) ou dans la “philosophie” d’attaque

Document tiré des révélations d’Edward Snowden “Strawhorse: Attacking the MacOS and iOS Software Development Kit”

ni l’étendue apparente de cette attaque, qui se limiterait pour l’instant à deux dépôts github, ne semble important;

ragulSimpragma/twitterTask

yimao009/MVC-MVP-MVVM

les deux repositories infectée selon la recherche

l’utilisation ce vecteur d’attaque avec l’investissement de deux 0-day au passage, mettent en evidence une interet accru de ces acteurs pour une “entrée dérobée” dans l’écosystème verrouillé Apple ainsi que les moyens conséquents auxquels ils ont désormais accès.

Ici le descriptif des deux Zero-day

Au sujet de la première faille relative au contournement du sandbox, permettant l’accès aux cookies de Safari via sshd: cette anomalie facilement reproductible avait été remarquée et détaillée en 2018:

The vulnerability in Remote Login (ssh) persists

Mojave’s security “hardening” | User protections could be bypassed

du point de vue technique, intéressant aussi la mixité d’approche dans les différents modules du payload avec l’utilisation notamment du language AppleScript natif macOS pour interagir avec le système et créer les autres composants nécessaires à l’infection et au contrôle à distance.

update 20/08 ajout liens décrivant le contournement via sshd