网络安全研究人员发现了一个已知的苹果macOS恶意软件的更新版本，该恶意软件名为XCSSET，目前已在少数攻击中被发现。

微软威胁情报团队在周四的一份报告中表示：“XCSSET的这种新变种在浏览器目标攻击、剪贴板劫持和持久化机制方面带来了关键变化。”

它采用复杂的加密和混淆技术，使用仅可运行的编译型AppleScripts实现隐秘执行，并扩展了其数据窃取能力，将Firefox浏览器数据也纳入其中。它还通过LaunchDaemon条目增加了另一种持久化机制。

XCSSET是一种复杂的模块化恶意软件的名称，其设计目的是感染软件开发人员使用的Xcode项目，并在项目构建时释放其恶意功能。目前尚不清楚该恶意软件的具体传播方式，但据推测，其传播依赖于开发人员在为macOS构建应用程序时共享的Xcode项目文件。

今年3月早些时候，微软发现了该恶意软件的多项增强功能，着重指出其改进的错误处理能力以及使用三种不同的持久化技术从受感染主机中窃取敏感数据的行为。

值得注意的是，这些修改包括对Mozilla Firefox浏览器的额外检查，以及用于确定Telegram即时通讯应用是否存在的调整后的逻辑。此外，还能看到对多个模块的更改，以及在先前版本中不存在的新模块——

• vexyeqj是此前名为seizecj的信息模块，它会下载一个名为bnk的模块，该模块通过osascript运行。此脚本定义了用于数据验证、加密、解密、从命令与控制（C2）服务器获取额外数据以及日志记录的函数。它还包含剪贴板劫持功能。
• neq_cdyd_ilvcmwx，一个类似于txzx_vostfdi的模块，可将文件窃取到C2服务器
• xmyyeqjx，一个用于设置基于LaunchDaemon的持久化的模块
• jey，一个用于设置基于Git的持久性的模块
• iewmilh_cdyd是一个模块，它使用名为HackBrowserData的公开可用工具的修改版本从Firefox窃取数据。

为减轻XCSSET带来的威胁，建议用户确保系统保持最新状态，检查从代码仓库或其他来源下载或克隆的Xcode项目，并在从剪贴板复制和粘贴敏感数据时保持警惕。