Según los investigadores de amenazas de Microsoft, han surgido una nueva variante del XCSSet MacOS Malware, dirigido a usuarios y desarrolladores de MacOS en ataques limitados. Esta versión se basa en sus predecesores, conocidos por robar información e inyectar puertas traseras.
Nuevo XCSSet MacOS Malware Variant se dirige a desarrolladores y usuarios
El malware XCSSet generalmente se extiende a través de proyectos Xcode comprometidos, que contienen archivos y configuraciones utilizados en el desarrollo de aplicaciones con el entorno de desarrollo integrado (IDE) de Apple. El malware ha sido una amenaza persistente durante varios años, explotando anteriormente vulnerabilidades de día cero para actividades maliciosas, como tomar capturas de pantalla y robar cookies de navegador. La variante actual también puede recopilar datos de aplicaciones como notas, exfiltrados archivos del sistema y dirigir billeteras digitales mientras emplea técnicas de ofuscación mejoradas que complican el análisis.
El malware ahora incorpora nuevas técnicas de infección y persistencia. Investigadores de Microsoft anotado que puede colocar su carga útil en un proyecto Xcode utilizando métodos como Target, Regla o Forced_Strategy. También puede insertar la carga útil dentro de la clave Target_Device_Family en la configuración de compilación, ejecutándola en una fase posterior. Los mecanismos de persistencia incluyen la creación de un archivo llamado ~/.zshrc_aliases que inicia la carga útil con cada nueva sesión de shell y descarga una herramienta Dockutil firmada desde un servidor de comando y control para administrar elementos de Dock.
Al crear una aplicación Fake LaunchPad y redirigir la ruta de la aplicación legítima en el muelle, XCSSet asegura que tanto las cargas útiles reales como las maliciosas se ejecuten cada vez que se inicia el lanzador. Este método distribuido permite que el malware afecte sigilosamente a una gama más amplia de víctimas.
Este juego de Steam está lleno de malware: ¿lo descargaste?
Microsoft informó que los hallazgos recientes representan la primera actualización importante de XCSSet desde 2022, destacando mejoras significativas en la ofuscación del código, los métodos de persistencia y las estrategias de infección. Los investigadores aconsejan a los desarrolladores que inspeccionen y verifiquen cuidadosamente cualquier proyecto de XCode clonado de fuentes no oficiales, ya que los elementos maliciosos pueden estar ocultos dentro.
XCSSet se reconoce como un sofisticado malware modular dirigido a usuarios de MacOS al comprometer los proyectos XCode. Inicialmente documentado en agosto de 2020 por Trend Micro, XCSSET se ha adaptado para comprometer las versiones de MacOS más nuevas y los chips M1 de Apple. Las iteraciones anteriores también habían demostrado la capacidad de extraer datos de varias aplicaciones, incluidos Google Chrome, Telegram y las propias aplicaciones de Apple, como contactos y notas.
A mediados de 2021, las nuevas características de XCSSet incluyeron explotar una vulnerabilidad de día cero, específicamente CVE-2021-30713, para tomar capturas de pantalla sin los permisos adecuados. Los orígenes de este malware siguen siendo desconocidos, con los últimos hallazgos que enfatizan su evolución continua y las persistentes amenazas que representa para los usuarios de MacOS.
Crédito de imagen destacado: Ales Nesetril/Unsplash
