Fevereiro 18, 2025
Rico Olivetti Hackers

Microsoft descobre nova variante do malware XCSSET macOS com táticas avançadas de ofuscação

A Microsoft informou que descobriu uma nova variante de um malware conhecido do macOS da Apple, chamado XCSSET, como parte de ataques limitados em andamento.

“Sua primeira variante conhecida desde 2022, este malware XCSSET mais recente apresenta métodos de ofuscação aprimorados, mecanismos de persistência atualizados e novas estratégias de infecção”, disse a equipe de Inteligência de Ameaças da Microsoft em uma publicação compartilhada no X.

“Esses recursos aprimorados se somam aos recursos já conhecidos dessa família de malware, como direcionar carteiras digitais, coletar dados do aplicativo Notes e exfiltrar informações e arquivos do sistema.”

XCSSET é um malware modular sofisticado para macOS que é conhecido por atingir usuários infectando projetos Apple Xcode. Foi documentado pela primeira vez pela Trend Micro em agosto de 2020.

Iterações subsequentes do malware foram encontradas para se adaptar para comprometer versões mais recentes do macOS, bem como os próprios chipsets M1 da Apple. Em meados de 2021, a empresa de segurança cibernética observou que o XCSSET havia sido atualizado para exfiltrar dados de vários aplicativos como Google Chrome, Telegram, Evernote, Opera, Skype, WeChat e aplicativos primários da Apple, como Contatos e Notas.

Outro relatório da Jamf, na mesma época, revelou a capacidade do malware de explorar o CVE-2021-30713, um bug de bypass da estrutura de Transparência, Consentimento e Controle (TCC), como um dia zero para fazer capturas de tela da área de trabalho da vítima sem exigir permissões adicionais.

Então, mais de um ano depois, ele foi atualizado novamente para adicionar suporte ao macOS Monterey. Até o momento, as origens do malware permanecem desconhecidas.

As últimas descobertas da Microsoft marcam a primeira grande revisão desde 2022, usando métodos de ofuscação aprimorados e mecanismos de persistência que visam desafiar os esforços de análise e garantir que o malware seja iniciado toda vez que uma nova sessão de shell for iniciada.

Outra nova maneira como o XCSSET configura a persistência envolve baixar um utilitário dockutil assinado de um servidor de comando e controle para gerenciar os itens do dock.

“O malware então cria um aplicativo Launchpad falso e substitui a entrada de caminho do Launchpad legítimo no dock por esta falsa”, disse a Microsoft. “Isso garante que toda vez que o Launchpad for iniciado a partir do dock, tanto o Launchpad legítimo quanto o payload malicioso sejam executados.”

Fonte: thehackernews.com