Microsoft cảnh báo rằng phần mềm độc hại macOS XCSSET mạnh mẽ đã trở lại với các thủ thuật mới

Tác giả tanthanh 14/02/2026 7 phút đọc

Microsoft cho biết họ đã phát hiện một biến thể mới của XCSSET, một dòng phần mềm độc hại macOS mạnh mẽ đã nhắm mục tiêu vào các nhà phát triển và người dùng ít nhất kể từ năm 2020.

Biến thể mà Microsoft báo cáo thứ hai, đánh dấu bản cập nhật phần mềm độc hại đầu tiên được biết đến rộng rãi kể từ năm 2022. Phần mềm độc hại lần đầu tiên được đưa ra ánh sáng vào năm 2020, khi công ty bảo mật Trend Micro nói rằng nó đã nhắm mục tiêu vào các nhà phát triển ứng dụng sau khi lan truyền thông qua một dự án có sẵn công khai mà kẻ tấn công đã viết cho Xcode, một công cụ dành cho nhà phát triển mà Apple cung cấp miễn phí. Phần mềm độc hại đã thu hút được sự chú ý ngay lập tức vì nó khai thác hai lỗ hổng zero-day vào thời điểm đó, một minh chứng cho sự tháo vát của thực thể đằng sau các cuộc tấn công.

Vào năm 2021, XCSSET lại xuất hiện lần đầu tiên khi nó đã quen thiết bị Backdoor Developers’ và vài tháng sau khi các nhà nghiên cứu tìm thấy nó khai thác vào thời điểm đó là một ngày số 0 mới.

Các tính năng nâng cao mới

Microsoft cho biết họ đã phát hiện biến thể mới trong các cuộc tấn công hạn chế cho đến nay. Những cải tiến trong đó bao gồm:

Hai phương pháp tồn tại chưa từng thấy trước đây để đảm bảo các thiết bị bị xâm phạm vẫn bị nhiễm vĩnh viễn. Một phương thức mới tạo ra một file có tên ~/.zshrc_aliases chứa tải trọng độc hại. Sau đó, biến thể mới sẽ thêm một lệnh trong tệp ~/.zshrc để đảm bảo rằng tệp đã tạo sẽ được khởi chạy mỗi khi phiên shell mới được bắt đầu. Phương pháp mới khác tạo ra một ứng dụng Launchpad giả mạo và thay thế mục nhập đường dẫn Launchpad hợp pháp bằng đường dẫn cho ứng dụng mới. Từ đó trở đi, tải trọng độc hại được khởi động mỗi khi Launchpad được khởi động từ dock macOS.
Phương pháp lây nhiễm tăng cường. Một phương thức cho phép kẻ tấn công chọn các tùy chọn, bao gồm TARGET, RULE hoặc FORCED_STRATEGY, khi XCSSET sẽ kích hoạt tải trọng của nó. Microsoft cho biết phương pháp khác “liên quan đến việc đặt tải trọng bên trong khóa TARGET_DEVICE_FAMILY trong cài đặt bản dựng và chạy nó ở giai đoạn sau.
Các phương pháp làm xáo trộn nâng cao, chủ yếu ở dạng “, một cách tiếp cận ngẫu nhiên hơn đáng kể để tạo tải trọng nhằm lây nhiễm các dự án Xcode.” Việc ngẫu nhiên hóa tăng lên khiến việc phát hiện mã độc trở nên khó khăn hơn nhiều. Biến thể XCSSET mới cũng mã hóa Base64 tên mô-đun mà nó tạo ra, một lần nữa khiến việc phát hiện chúng trở nên khó khăn hơn.

“Những tính năng nâng cao này bổ sung vào dòng phần mềm độc hại này những khả năng đã biết trước đây, như nhắm mục tiêu ví kỹ thuật số, thu thập dữ liệu từ ứng dụng Notes và lọc thông tin và tệp hệ thống,” Microsoft viết. XCSSET chứa nhiều mô-đun để thu thập và lọc dữ liệu nhạy cảm từ các thiết bị bị nhiễm.

Microsoft Defender cho Endpoint trên Mac hiện phát hiện biến thể XCSSET mới và có khả năng các công cụ phát hiện phần mềm độc hại khác sẽ sớm, nếu chưa. Thật không may, Microsoft đã không phát hành băm tệp hoặc các chỉ báo thỏa hiệp khác mà mọi người có thể sử dụng để xác định xem họ có bị nhắm mục tiêu hay không. Người phát ngôn của Microsoft cho biết các chỉ số này sẽ được phát hành trong một bài đăng trên blog trong tương lai.

Để tránh trở thành nạn nhân của các biến thể mới, Microsoft cho biết các nhà phát triển nên kiểm tra tất cả các dự án Xcode được tải xuống hoặc sao chép từ các kho lưu tr. Việc chia sẻ các dự án này là thói quen giữa các nhà phát triển. XCSSET khai thác sự tin tưởng của các nhà phát triển bằng cách lây lan qua các dự án độc hại do kẻ tấn công tạo ra.