“XCSSET กลับมาอีกครั้ง — มัลแวร์ macOS สายลับนักพัฒนา แอบขโมยข้อมูล Firefox และเปลี่ยนที่อยู่คริปโตในคลิปบอร์ด”

Microsoft Threat Intelligence ได้เปิดเผยการกลับมาของมัลแวร์ XCSSET บน macOS ซึ่งเป็นภัยคุกคามที่เคยโจมตีนักพัฒนาผ่านโปรเจกต์ Xcode โดยเวอร์ชันล่าสุดในเดือนกันยายน 2025 นี้มีความสามารถใหม่ที่น่ากังวลยิ่งกว่าเดิม ทั้งการขโมยข้อมูลจากเบราว์เซอร์ Firefox การแฮ็กคลิปบอร์ดเพื่อขโมยคริปโต และการฝังตัวแบบแนบเนียนผ่าน LaunchDaemon2

XCSSET ใช้เทคนิค supply-chain โดยแฝงตัวในโปรเจกต์ Xcode ที่นักพัฒนามักแชร์กัน ทำให้การแพร่กระจายเกิดขึ้นโดยไม่รู้ตัว เมื่อมีการ build โปรเจกต์ มัลแวร์จะถูกเรียกใช้งานทันที

เวอร์ชันใหม่นี้มีการเพิ่มโมดูลหลายตัว เช่น:

ขโมยข้อมูลจาก Firefox: ใช้โค้ดจาก HackBrowserData เพื่อดึงรหัสผ่าน คุกกี้ ประวัติ และข้อมูลบัตรเครดิต

แฮ็กคลิปบอร์ด: ตรวจจับ regex ของที่อยู่กระเป๋าคริปโต แล้วแทนที่ด้วยที่อยู่ของแฮกเกอร์

ฝังตัวผ่าน LaunchDaemon: ปลอมตัวเป็น “System Settings.app” และปิดการอัปเดตความปลอดภัยของ macOS

ใช้ AppleScript แบบ run-only และการเข้ารหัสหลายชั้นเพื่อหลบการตรวจจับ

แม้การโจมตียังอยู่ในวงจำกัด แต่เป้าหมายชัดเจนคือกลุ่มนักพัฒนา macOS และผู้ใช้ที่เกี่ยวข้องกับคริปโต โดย Microsoft ได้ร่วมมือกับ Apple และ GitHub เพื่อลบ repository ที่มีโปรเจกต์ติดมัลแวร์ออกไปแล้ว

ข้อมูลสำคัญจากข่าว
XCSSET เป็นมัลแวร์ macOS ที่แฝงตัวในโปรเจกต์ Xcode และรันตอน build
เวอร์ชันใหม่ขโมยข้อมูลจาก Firefox เช่น รหัสผ่าน คุกกี้ และบัตรเครดิต
มีโมดูลตรวจจับที่อยู่คริปโตในคลิปบอร์ด แล้วแทนที่ด้วยของแฮกเกอร์
ใช้ LaunchDaemon ปลอมตัวเป็น System Settings.app เพื่อฝังตัว
ปิดการอัปเดต Rapid Security Response ของ Apple เพื่อหลบการตรวจจับ
ใช้ AppleScript แบบ run-only และการเข้ารหัสหลายชั้นเพื่อหลบการวิเคราะห์
มีการตรวจสอบการติดตั้ง Telegram และ Firefox ก่อนรัน payload
Microsoft ร่วมมือกับ Apple และ GitHub เพื่อลบ repository ที่ติดมัลแวร์
การโจมตียังอยู่ในวงจำกัด แต่มีแนวโน้มขยายตัวในกลุ่มนักพัฒนาและสายคริปโต

ข้อมูลเสริมจากภายนอก
HackBrowserData เป็นเครื่องมือโอเพ่นซอร์สที่ใช้ดึงข้อมูลจากเบราว์เซอร์หลายตัว
regex (regular expression) เป็นเทคนิคที่ใช้ตรวจจับรูปแบบข้อมูล เช่น ที่อยู่คริปโต
LaunchDaemon เป็นระบบที่รันโปรเซสตอนบูต macOS และใช้ฝังมัลแวร์ได้
AppleScript แบบ run-only ไม่สามารถเปิดดูโค้ดได้ ทำให้วิเคราะห์ยาก
supply-chain attack เป็นรูปแบบการโจมตีที่ใช้ช่องทางการพัฒนาเป็นตัวแพร่มัลแวร์

https://securityonline.info/xcsset-macos-malware-evolves-new-variant-targets-firefox-hijacks-clipboard-for-crypto-theft/
🕵️‍♂️ “XCSSET กลับมาอีกครั้ง — มัลแวร์ macOS สายลับนักพัฒนา แอบขโมยข้อมูล Firefox และเปลี่ยนที่อยู่คริปโตในคลิปบอร์ด” Microsoft Threat Intelligence ได้เปิดเผยการกลับมาของมัลแวร์ XCSSET บน macOS ซึ่งเป็นภัยคุกคามที่เคยโจมตีนักพัฒนาผ่านโปรเจกต์ Xcode โดยเวอร์ชันล่าสุดในเดือนกันยายน 2025 นี้มีความสามารถใหม่ที่น่ากังวลยิ่งกว่าเดิม ทั้งการขโมยข้อมูลจากเบราว์เซอร์ Firefox การแฮ็กคลิปบอร์ดเพื่อขโมยคริปโต และการฝังตัวแบบแนบเนียนผ่าน LaunchDaemon2 XCSSET ใช้เทคนิค supply-chain โดยแฝงตัวในโปรเจกต์ Xcode ที่นักพัฒนามักแชร์กัน ทำให้การแพร่กระจายเกิดขึ้นโดยไม่รู้ตัว เมื่อมีการ build โปรเจกต์ มัลแวร์จะถูกเรียกใช้งานทันที เวอร์ชันใหม่นี้มีการเพิ่มโมดูลหลายตัว เช่น: 📂 ขโมยข้อมูลจาก Firefox: ใช้โค้ดจาก HackBrowserData เพื่อดึงรหัสผ่าน คุกกี้ ประวัติ และข้อมูลบัตรเครดิต 💸 แฮ็กคลิปบอร์ด: ตรวจจับ regex ของที่อยู่กระเป๋าคริปโต แล้วแทนที่ด้วยที่อยู่ของแฮกเกอร์ 🛡️ ฝังตัวผ่าน LaunchDaemon: ปลอมตัวเป็น “System Settings.app” และปิดการอัปเดตความปลอดภัยของ macOS 🧬 ใช้ AppleScript แบบ run-only และการเข้ารหัสหลายชั้นเพื่อหลบการตรวจจับ แม้การโจมตียังอยู่ในวงจำกัด แต่เป้าหมายชัดเจนคือกลุ่มนักพัฒนา macOS และผู้ใช้ที่เกี่ยวข้องกับคริปโต โดย Microsoft ได้ร่วมมือกับ Apple และ GitHub เพื่อลบ repository ที่มีโปรเจกต์ติดมัลแวร์ออกไปแล้ว ✅ ข้อมูลสำคัญจากข่าว ➡️ XCSSET เป็นมัลแวร์ macOS ที่แฝงตัวในโปรเจกต์ Xcode และรันตอน build ➡️ เวอร์ชันใหม่ขโมยข้อมูลจาก Firefox เช่น รหัสผ่าน คุกกี้ และบัตรเครดิต ➡️ มีโมดูลตรวจจับที่อยู่คริปโตในคลิปบอร์ด แล้วแทนที่ด้วยของแฮกเกอร์ ➡️ ใช้ LaunchDaemon ปลอมตัวเป็น System Settings.app เพื่อฝังตัว ➡️ ปิดการอัปเดต Rapid Security Response ของ Apple เพื่อหลบการตรวจจับ ➡️ ใช้ AppleScript แบบ run-only และการเข้ารหัสหลายชั้นเพื่อหลบการวิเคราะห์ ➡️ มีการตรวจสอบการติดตั้ง Telegram และ Firefox ก่อนรัน payload ➡️ Microsoft ร่วมมือกับ Apple และ GitHub เพื่อลบ repository ที่ติดมัลแวร์ ➡️ การโจมตียังอยู่ในวงจำกัด แต่มีแนวโน้มขยายตัวในกลุ่มนักพัฒนาและสายคริปโต ✅ ข้อมูลเสริมจากภายนอก ➡️ HackBrowserData เป็นเครื่องมือโอเพ่นซอร์สที่ใช้ดึงข้อมูลจากเบราว์เซอร์หลายตัว ➡️ regex (regular expression) เป็นเทคนิคที่ใช้ตรวจจับรูปแบบข้อมูล เช่น ที่อยู่คริปโต ➡️ LaunchDaemon เป็นระบบที่รันโปรเซสตอนบูต macOS และใช้ฝังมัลแวร์ได้ ➡️ AppleScript แบบ run-only ไม่สามารถเปิดดูโค้ดได้ ทำให้วิเคราะห์ยาก ➡️ supply-chain attack เป็นรูปแบบการโจมตีที่ใช้ช่องทางการพัฒนาเป็นตัวแพร่มัลแวร์ https://securityonline.info/xcsset-macos-malware-evolves-new-variant-targets-firefox-hijacks-clipboard-for-crypto-theft/
SECURITYONLINE.INFO
XCSSET macOS Malware Evolves: New Variant Targets Firefox, Hijacks Clipboard for Crypto Theft
A new XCSSET variant targets macOS developers by infecting Xcode projects. It now steals Firefox data, hijacks clipboards for crypto theft, and enhances its persistence.
0 Comments 0 Shares 149 Views 0 Reviews