Microsoft dijo que descubrió una nueva variante de un conocido malware de Apple macOS llamado XCSSET como parte de ataques limitados en la naturaleza.
«Su primera variante conocida desde 2022, este último malware XCSSET presenta métodos de ofuscación mejorados, mecanismos de persistencia actualizados y nuevas estrategias de infección», dijo el equipo de Inteligencia de Amenazas de Microsoft en una publicación compartida en X.
«Estas funciones mejoradas se suman a las capacidades previamente conocidas de esta familia de malware, como atacar billeteras digitales, recopilar datos de la aplicación Notas y exfiltrar información y archivos del sistema».
XCSSET es un malware modular sofisticado para macOS que ataca a los usuarios infectando proyectos Xcode de Apple. Trend Micro lo documentó por primera vez en agosto de 2020.
Se ha descubierto que las iteraciones posteriores del malware se adaptan para comprometer las versiones más nuevas de macOS, así como los propios chipsets M1 de Apple. A mediados de 2021, la empresa de ciberseguridad señaló que XCSSET se había actualizado para exfiltrar datos de varias aplicaciones como Google Chrome, Telegram, Evernote, Opera, Skype, WeChat y aplicaciones propias de Apple como Contactos y Notas.
Otro informe de Jamf publicado aproximadamente al mismo tiempo reveló la capacidad del malware para explotar CVE-2021-30713, un error de evasión del marco de Transparencia, Consentimiento y Control (TCC), como un día cero para tomar capturas de pantalla del escritorio de la víctima sin requerir permisos adicionales.
Luego, más de un año después, se actualizó nuevamente para agregar compatibilidad con macOS Monterey. Al momento de escribir este artículo, los orígenes del malware siguen siendo desconocidos.
Los últimos hallazgos de Microsoft marcan la primera revisión importante desde 2022, utilizando métodos de ofuscación mejorados y mecanismos de persistencia que tienen como objetivo desafiar los esfuerzos de análisis y garantizar que el malware se lance cada vez que se inicia una nueva sesión de shell.
Otra forma novedosa en que XCSSET configura la persistencia implica descargar una utilidad dockutil firmada desde un servidor de comando y control para administrar los elementos del dock.
«A continuación, el malware crea una aplicación Launchpad falsa y reemplaza la entrada de ruta del Launchpad legítimo en el dock por esta falsa», dijo Microsoft. «Esto garantiza que cada vez que se inicie el Launchpad desde el dock, se ejecuten tanto el Launchpad legítimo como la carga maliciosa».
Fuente y redacción: thehackernews.com
