Surgiu uma nova variante do malware do XCSset MacOS, visando usuários e desenvolvedores de MacOS em ataques limitados, de acordo com os pesquisadores de ameaças da Microsoft. Esta versão se baseia em seus antecessores, conhecidos por roubar informações e injetar backdoors.
Novos variantes de malware do XCSset MacOS direcionam desenvolvedores e usuários
O malware XCSSET normalmente se espalha por meio de projetos Xcode comprometidos, que contêm arquivos e configurações usados no desenvolvimento de aplicativos com o ambiente de desenvolvimento integrado da Apple (IDE). O malware tem sido uma ameaça persistente há vários anos, explorando anteriormente as vulnerabilidades de dia zero para atividades maliciosas, como tirar capturas de tela e roubar cookies do navegador. A variante atual também pode coletar dados de aplicativos como notas, arquivos do sistema exfiltrado e alvo de carteiras digitais, enquanto emprega técnicas aprimoradas de ofuscação que complicam a análise.
O malware agora incorpora novas técnicas de infecção e persistência. Pesquisadores da Microsoft observado que ele pode colocar sua carga útil em um projeto Xcode usando métodos como Target, Regra ou Forced_Strategy. Ele também pode inserir a carga útil na chave Target_Device_family nas configurações de construção, executando -a posteriormente. Os mecanismos de persistência incluem a criação de um arquivo chamado ~/.zshrc_aliases que inicia a carga útil com cada nova sessão do Shell e o download de uma ferramenta Dockutil assinada de um servidor de comando e controle para gerenciar itens de dock.
Ao criar um aplicativo Fake Launchpad e redirecionar o caminho do aplicativo legítimo no dock, o XCSset garante que as cargas úteis reais e maliciosas sejam executadas sempre que o lançamento é lançado. Esse método distribuído permite que o malware afete furtivamente uma gama mais ampla de vítimas.
Este jogo do Steam está cheio de malware: você o baixou?
A Microsoft relatou que as descobertas recentes representam a primeira grande atualização do XCSset desde 2022, destacando melhorias significativas na ofuscação de código, métodos de persistência e estratégias de infecção. Os pesquisadores aconselham os desenvolvedores a inspecionar e verificar cuidadosamente todos os projetos Xcode clonados de fontes não oficiais, pois elementos maliciosos podem estar escondidos.
O XCSSET é reconhecido como sofisticado de malware modular, direcionando os usuários do MACOS, comprometendo projetos Xcode. Inicialmente documentado em agosto de 2020 pela Trend Micro, o XCSset se adaptou para comprometer as versões mais recentes do MacOS e os chipsets M1 da Apple. As iterações anteriores também demonstraram a capacidade de extrair dados de vários aplicativos, incluindo aplicativos do Google Chrome, Telegram e Apple, como contatos e notas.
Em meados de 2021, os novos recursos do XCSSET incluíram a exploração de uma vulnerabilidade de dia zero, especificamente CVE-2021-30713, para tirar capturas de tela sem permissões adequadas. As origens desse malware permanecem desconhecidas, com as últimas descobertas enfatizando sua evolução contínua e as ameaças persistentes que ela representa para os usuários do MacOS.
Crédito da imagem em destaque: ALES NESTRIL/UNSLASH
