Microsoft Threat Intelligence ha detectado una nueva variante del malware XCSSET en macOS, marcando su primera actualización desde 2022. Este se infiltra en proyectos de Xcode, una herramienta esencial para los desarrolladores de Apple.
La versión más reciente incorpora técnicas avanzadas de ofuscación, mecanismos de persistencia mejorados y nuevas tácticas de infección, lo que complica su detección y mitigación. Incorpora codificación Base64 con iteraciones aleatorias para crear sus cargas maliciosas, a diferencia de versiones anteriores que dependían exclusivamente del volcado hexadecimal.
Mecanismos de persistencia mejorados: Para asegurar su permanencia en el sistema, el malware emplea dos métodos.
- «zshrc»
- crea un archivo con la carga maliciosa y añade un comando al archivo
~/.zshrc_aliaseso~/.zshrcpara ejecutarse automáticamente en cada nueva sesión de terminal.
- crea un archivo con la carga maliciosa y añade un comando al archivo
- «dock»
- Descarga una herramienta firmada desde un servidor de comando y control (C2). Utiliza dockutil para reemplazar la aplicación legítima de Launchpad en el dock por una versión falsa que ejecuta tanto la aplicación original como el malware simultáneamente.
La versión actualizada de XCSSET también introduce innovadoras estrategias de infección al insertar su carga maliciosa en proyectos de Xcode. Puede elegir entre varios métodos, como TARGET, RULE o FORCED_STRATEGY, o insertar el código malicioso en la clave TARGET_DEVICE_FAMILY dentro de la configuración de compilación (estos métodos permiten que el malware se active en las etapas finales del proceso).
Esta variante conserva funciones previamente conocidas, como el robo de datos de aplicaciones, ataques a billeteras digitales, exfiltración de archivos del sistema e incluso la ejecución de ataques de Ransomware.
Fuente:
Ciberprisma - alianza por la ciberseguridad 