Los investigadores de ciberseguridad han descubierto una interpretación actualizada de un malware Apple MacOS conocido llamado Xcset Eso se ha observado en ataques limitados.
“Esta nueva variable de XCSSet trae cambios secreto relacionados con la orientación del navegador, el secuestro de portapapeles y los mecanismos de persistencia”, dijo el equipo de inteligencia de amenazas de Microsoft en un mensaje del jueves.
“Emplea técnicas sofisticadas de criptográfico y ofuscación, utiliza AppleScripts compilados solo por ejecución para una ejecución sigilosa y expande sus capacidades de exfiltración de datos para incluir datos del navegador Firefox. Incluso agrega otro mecanismo de persistencia a través de las entradas de divulgación de divulgación”.
XCSSet es el nombre asignado a un sofisticado malware modular que está diseñado para infectar los proyectos de XCode utilizados por los desarrolladores de software y desatar sus capacidades maliciosas cuando se está construyendo. Exactamente cómo se distribuye el malware sigue sin estar claro, pero se sospecha que la propagación se zócalo en los archivos del tesina XCode que se comparten entre los desarrolladores que crean aplicaciones para MacOS.
A principios de marzo, Microsoft descubrió varias mejoras en el malware, destacando su mejor manejo de errores y el uso de tres técnicas de persistencia diferentes para desviar datos confidenciales de hosts comprometidos.
Se ha incompatible que la última variable de XCSSET incorpora un submódulo de Clipper que monitorea el contenido del portapapeles para patrones específicos de expresión regular (además conocido como Regex) que coinciden con varias billeteras de criptomonedas. En el caso de un partido, el malware procede a sustituir la dirección de la billetera en el portapapeles con un atacante controlado para redirigir las transacciones.
El fabricante de Windows además señaló que la nueva iteración introduce cambios en la cuarta etapa de la cautiverio de infección, particularmente cuando se utiliza una aplicación AppleScript para ejecutar un comando shell para obtener el AppleScript de etapa final responsable de compendiar información del sistema y difundir varios submódulos utilizando una función Boot ().
En particular, las modificaciones incluyen verificaciones adicionales para el navegador Mozilla Firefox y una dialéctica alterada para determinar la presencia de la aplicación de correo de telegrama. Incluso se observan cambios en los diversos módulos, así como nuevos módulos que no existían en versiones anteriores –
- VEXYEQJ, el módulo de información se llamó previamente SEZECJ, y que descarga un módulo llamado BNK que se ejecuta usando Osascript. El script define las funciones para la empuje de datos, el criptográfico, el descifrado, la fabricación de datos adicionales del servidor de comando y control (C2) y registro. Incluso incluye la funcionalidad de Clipper.
- NEQ_CDYD_ILVCMWX, un módulo similar a TXZX_VOSTFDI que exfiltra los archivos al servidor C2
- XMYYEQJX, un módulo para configurar la persistencia basada en la divulgación
- Jey, el módulo anteriormente llamado Jez, y que se usa para configurar la persistencia basada en GIT
- IEWMILH_CDYD, un módulo para robar datos de Firefox utilizando una interpretación modificada de una aparejo arreglado públicamente señal HackbrowserData
Para mitigar la amenaza planteada por XCSSet, se recomienda a los usuarios para certificar que mantengan su sistema actualizado, inspeccionan los proyectos de XCode descargados o clonados de repositorios u otras fuentes, y practicar precaución cuando se comercio de copiar y pegar datos confidenciales del portapapeles.
Sherrod DeGrippo, director de organización de inteligencia de amenazas en Microsoft, dijo a The Hacker News que los módulos se someten regularmente a pequeños cambios de nombre a medida que el malware evoluciona, a pesar de que su funcionalidad sigue siendo consistente.
“Lo que se destaca en esta variable es su capacidad para interceptar y manipular el contenido de portapapeles vinculado a las billeteras digitales”, dijo DeGrippo. “Esto no es un inspección pasivo; es una amenaza que socavará la confianza en poco tan primordial como lo que copia y pegas.
“La última progreso de XCSSet muestra cómo se pueden armarse las herramientas de desarrollador. Con tácticas como secuestro de portapapeles, orientación ampliada del navegador y persistencia sigilosa, los actores de amenaza continúan aumentando el nivel de sofisticación que los defensores deben acogerse”.
(La historia se actualizó posteriormente de la publicación para incluir una respuesta de Microsoft).
