Uma nova variante do malware modular XCSSET para macOS surgiu em ataques que visam informações sensíveis dos usuários, incluindo carteiras digitais e dados do aplicativo legítimo Notes.
O malware é tipicamente distribuído por meio de projetos Xcode infectados.
Ele já existe há pelo menos cinco anos e cada atualização representa um marco no desenvolvimento do XCSSET.
As melhorias atuais são as primeiras observadas desde 2022.
A equipe de Threat Intelligence da Microsoft identificou a última variante em ataques limitados e diz que, comparada com as variantes anteriores do XCSSET, a nova possui obfuscação de código aprimorada, melhor persistência e novas estratégias de infecção.
Em maio de 2021, a Apple corrigiu uma vulnerabilidade que estava sendo ativamente explorada como um zero-day pelo XCSSET, uma indicação das capacidades do desenvolvedor do malware.
A Microsoft alerta hoje sobre novos ataques que usam uma variante do malware XCSSET para macOS com melhorias em todos os aspectos.
Algumas das principais modificações identificadas pelos pesquisadores incluem:
Nova obfuscação por meio de técnicas de codificação que dependem tanto de métodos Base64 quanto de xxd (hexdump) que variam no número de iterações.
Nomes de módulos no código também são obfuscados, o que dificulta a análise de seu intento.
Duas técnicas de persistência (zshrc e dock)
Novos métodos de infecção Xcode: o malware usa as opções TARGET, RULE ou FORCED_STRATEGY para colocar o payload no projeto Xcode.
Ele também pode inserir o payload na chave TARGET_DEVICE_FAMILY dentro das configurações de compilação e executá-lo em um estágio posterior.
Para o método de persistência zshrc, a nova variante do XCSSET cria um arquivo chamado ~/.zshrc_aliases que contém o payload e acrescenta um comando no arquivo ~/.zshrc.
Desta forma, o arquivo criado é lançado sempre que uma nova sessão do shell é iniciada.
Para o método dock, uma ferramenta dockutil assinada é baixada do servidor de comando e controle (C2) do atacante para gerenciar itens do dock.
O XCSSET então cria um aplicativo Launchpad malicioso com o payload e altera o caminho do aplicativo legítimo para apontar para o falso.
Como resultado, quando o Launchpad no dock é iniciado, tanto o aplicativo genuíno quanto o payload malicioso são executados.
O Xcode é o conjunto de ferramentas para desenvolvedores da Apple que vem com um Integrated Development Environment (IDE) e permite criar, testar e distribuir aplicativos para todas as plataformas da Apple.
Um projeto Xcode pode ser criado do zero ou construído com base em recursos baixados/clonados de vários repositórios.
Ao direcioná-los, o operador do XCSSET pode alcançar um pool maior de vítimas.
O XCSSET possui vários módulos para analisar dados no sistema, coletar informações sensíveis e exfiltrá-las.
O tipo de dados visados inclui logins, informações de aplicativos de chat e navegadores, app Notes, carteiras digitais, informações e arquivos do sistema.
A Microsoft recomenda inspecionar e verificar projetos e bases de código Xcode clonados de repositórios não oficiais, pois esses podem ocultar malware obfuscado ou backdoors.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...