Microsoft dijo que ha descubierto una nueva modificación de un malware de Apple MacOS conocido llamado Xcset Como parte de los ataques limitados en la naturaleza.
“Su primera modificación conocida desde 2022, este postrero malware XCSSet presenta métodos de ofuscación mejorados, mecanismos de persistencia actualizados y nuevas estrategias de infección”, dijo el equipo de inteligencia de amenazas de Microsoft en una publicación compartida en X.
“Estas características mejoradas se suman a las capacidades conocidas previamente de esta clan de malware, como apuntar a billeteras digitales, resumir datos de la aplicación Notes y exfiltrar información y archivos del sistema”.
XCSSET es un sofisticado malware de macOS modulares que se sabe que se dirige a los usuarios al infectar los proyectos Apple XCode. Primero fue documentado por Trend Micro en agosto de 2020.
Se ha contrario que las iteraciones posteriores del malware se adaptan al compromiso de versiones más recientes de MacOS, así como los propios conjuntos de chips M1 de Apple. A mediados de 2011, la compañía de seguridad cibernética señaló que XCSSet se había actualizado para exfiltrado datos de varias aplicaciones como Google Chrome, Telegram, Evernote, Opera, Skype, WeChat y Apple aplicaciones de primera parte como contactos y notas.
Otro mensaje de JAMF aproximadamente al mismo tiempo reveló la capacidad del malware para explotar el error del entorno CVE-2021-30713, una transparencia, consentimiento y control del entorno de control (TCC), como un día cero para tomar capturas de pantalla del escritorio de la víctima sin requerir permisiones adicionales adicionales. .
Luego, más de un año a posteriori, se actualizó nuevamente para ampliar soporte para MacOS Monterey. Al escribir, los orígenes del malware siguen siendo desconocidos.
Los últimos hallazgos de Microsoft marcan la primera revisión importante desde 2022, utilizando métodos de ofuscación mejorados y mecanismos de persistencia que están dirigidos a esfuerzos de investigación desafiantes y certificar que el malware se suceso cada vez que se inicia una nueva sesión de shell.
Otra modo novedosa de XCSSet establece la persistencia implica descargar una utilidad DockUtil firmada de un servidor de comando y control para gobernar los nociones del terminal.
“El malware luego crea una aplicación Fake LaunchPad y reemplaza la entrada de la ruta de Lastimate LaunchPad en el terminal con este inexacto”, dijo Microsoft. “Esto garantiza que cada vez que se inicia el divulgación de la terminal, tanto el divulgación lícito como el divulgación de la carga maliciosa se ejecutan”.
