Pesquisadores em cibersegurança identificaram uma nova versão do malware XCSSET, conhecido por atacar o macOS da Apple, que tem sido observado em ataques pontuais.
Segundo um relatório divulgado na quinta-feira pela equipe de Threat Intelligence da Microsoft, essa variante traz mudanças importantes no direcionamento aos navegadores, no roubo de dados da área de transferência (clipboard hijacking) e nos mecanismos de persistência.
A nova versão utiliza técnicas avançadas de encriptação e obfuscação, emprega AppleScripts compilados para execução discreta e amplia suas capacidades de exfiltração de dados, incluindo agora informações do navegador Firefox.
Além disso, implementa um novo método de persistência por meio de entradas em LaunchDaemon.
O XCSSET é um malware modular sofisticado que infecta projetos do Xcode, ambiente de desenvolvimento da Apple, usado por programadores.
Ele atua durante o processo de build do software, ativando suas funções maliciosas.
Ainda não está claro como o malware é distribuído, mas suspeita-se que a propagação ocorra por meio do compartilhamento dos arquivos de projeto entre desenvolvedores de apps para macOS.
No início de março, a Microsoft havia identificado aprimoramentos no XCSSET, destacando melhorias na manipulação de erros e a implementação de três técnicas diferentes de persistência para extrair dados sensíveis das máquinas infectadas.
A variante mais recente contém um submódulo clipper, que monitora o conteúdo do clipboard com o objetivo de detectar padrões específicos (regex) relacionados a carteiras de criptomoedas.
Ao identificar uma correspondência, o malware substitui o endereço da carteira pela do invasor, desviando assim transações financeiras.
A Microsoft também apontou que esta versão modifica a quarta fase da cadeia de infecção, utilizando um aplicativo AppleScript para executar comandos shell que buscam o AppleScript final.
Esse script é responsável por coletar informações do sistema e ativar diversos submódulos por meio de uma função boot().
Entre as mudanças, destacam-se verificações adicionais para o navegador Mozilla Firefox e uma lógica atualizada para detectar a presença do aplicativo de mensagens Telegram.
Novos módulos foram acrescentados, além de atualizações nos existentes:
- vexyeqj: módulo de informações, antigo seizecj, que baixa um componente chamado bnk, executado via osascript. Ele inclui funções para validação, criptografia, descriptografia, comunicação com servidores de comando e controle (C2) e registro de atividades, além da funcionalidade de clipper.
- neq_cdyd_ilvcmwx: módulo semelhante ao txzx_vostfdi, que exfiltra arquivos para o servidor C2.
- xmyyeqjx: módulo que implementa persistência via LaunchDaemon.
- jey: módulo que cria persistência por meio do Git.
- iewmilh_cdyd: módulo para roubo de dados do Firefox, baseado numa versão modificada do HackBrowserData, ferramenta pública.
Para se proteger contra o XCSSET, recomenda-se manter o sistema operacional sempre atualizado, revisar cuidadosamente projetos do Xcode baixados ou clonados de repositórios e fontes externas, e evitar colar dados sensíveis diretamente do clipboard sem a devida atenção.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...