نسخة جديدة من XCSSET تستهدف متصفح فايرفوكس
26 سبتمبر 2025رافي لاكشمانان – الأمن السيبراني / أمان المتصفح
اكتشف الباحثون في مجال الأمن السيبراني نسخة محدثة من برنامج ضار معروف باسم XCSSET تم ملاحظتها في هجمات محدودة.
“تجلب هذه النسخة الجديدة من XCSSET تغييرات رئيسية تتعلق باستهداف المتصفحات، واختطاف الحافظة، وآليات الاستمرارية،” حسبما أفادت فريق الذكاء التهديدي في مايكروسوفت في تقرير يوم الخميس.
“تستخدم تقنيات تشفير وتعتيم متطورة، وتستخدم AppleScripts المجمعة للتنفيذ الخفي، وتوسع قدراتها على استخراج البيانات لتشمل بيانات متصفح فايرفوكس. كما تضيف آلية استمرارية أخرى من خلال إدخالات LaunchDaemon.”
ما هو XCSSET؟
XCSSET هو اسم يُطلق على برنامج ضار معقد مصمم لإصابة مشاريع Xcode المستخدمة من قبل مطوري البرمجيات وإطلاق قدراته الضارة عندما يتم بناؤه. لا يزال غير واضح كيفية توزيع البرنامج الضار، ولكن يُشتبه في أن الانتشار يعتمد على ملفات مشروع Xcode التي يتم مشاركتها بين المطورين الذين يقومون ببناء تطبيقات لنظام macOS.
في مارس الماضي، كشفت مايكروسوفت عن العديد من التحسينات على البرنامج الضار، مشيرة إلى تحسين معالجة الأخطاء واستخدام ثلاث تقنيات استمرارية مختلفة لاستخراج البيانات الحساسة من الأجهزة المخترقة.
وظائف جديدة في النسخة الأخيرة
تم العثور على النسخة الأخيرة من XCSSET تتضمن وحدة فرعية للاختطاف تراقب محتوى الحافظة بحثًا عن أنماط تعبير منتظم محددة تتطابق مع محافظ العملات المشفرة المختلفة. في حال تم العثور على تطابق، يقوم البرنامج الضار باستبدال عنوان المحفظة في الحافظة بواحد يتحكم به المهاجم لإعادة توجيه المعاملات.
كما لاحظ صانع ويندوز أن النسخة الجديدة تقدم تغييرات في المرحلة الرابعة من سلسلة العدوى، خاصة حيث يتم استخدام تطبيق AppleScript لتشغيل أمر شل لجلب AppleScript النهائي المسؤول عن جمع معلومات النظام وإطلاق وحدات فرعية مختلفة باستخدام دالة boot().
تغييرات ملحوظة
تشمل التعديلات فحوصات إضافية لمتصفح موزيلا فايرفوكس ومنطقًا معدلًا لتحديد وجود تطبيق المراسلة تيليجرام. كما تم ملاحظة تغييرات في الوحدات المختلفة، بالإضافة إلى وحدات جديدة لم تكن موجودة في النسخ السابقة:
- vexyeqj، وحدة المعلومات التي كانت تُعرف سابقًا باسم seizecj، والتي تقوم بتنزيل وحدة تُسمى bnk يتم تشغيلها باستخدام osascript. تحدد هذه السكربتات وظائف للتحقق من صحة البيانات، والتشفير، وفك التشفير، وجلب بيانات إضافية من خادم القيادة والتحكم (C2)، والتسجيل. كما تتضمن أيضًا وظيفة الاختطاف.
- neq_cdyd_ilvcmwx، وحدة مشابهة لـ txzx_vostfdi التي تقوم باستخراج الملفات إلى خادم C2.
- xmyyeqjx، وحدة لإعداد استمرارية قائمة على LaunchDaemon.
- jey، الوحدة التي كانت تُعرف سابقًا باسم jez، والتي تُستخدم لإعداد استمرارية قائمة على Git.
- iewmilh_cdyd، وحدة لسرقة البيانات من فايرفوكس باستخدام نسخة معدلة من أداة متاحة للجمهور تُسمى HackBrowserData.
توصيات للتخفيف من التهديد
لتقليل التهديد الذي يمثله XCSSET، يُوصى للمستخدمين بضمان تحديث أنظمتهم، وفحص مشاريع Xcode التي تم تنزيلها أو استنساخها من المستودعات أو مصادر أخرى، وممارسة الحذر عند نسخ ولصق البيانات الحساسة من الحافظة.
قال شيرود ديغريببو، مدير استراتيجية الذكاء التهديدي في مايكروسوفت، لصحيفة Hacker News إن الوحدات تخضع بانتظام لتغييرات صغيرة في الأسماء مع تطور البرنامج الضار، على الرغم من أن وظيفتها تظل ثابتة.
“ما يبرز في هذه النسخة هو قدرتها على اعتراض والتلاعب بمحتوى الحافظة المرتبط بالمحافظ الرقمية،” قال ديغريببو. “هذا ليس استقصاءً سلبياً؛ إنه تهديد سيقوض الثقة في شيء أساسي مثل ما تقوم بنسخه ولصقه.
“تظهر أحدث تطورات XCSSET كيف يمكن حتى لأدوات المطورين أن تُستخدم كأسلحة. مع تكتيكات مثل اختطاف الحافظة، وتوسيع استهداف المتصفحات، والاستمرارية الخفية، يستمر المهاجمون في رفع مستوى التعقيد الذي يحتاج المدافعون لمواجهته.”
(تم تحديث القصة بعد النشر لتضمين رد من مايكروسوفت.)
