{"id":766,"date":"2025-02-18T14:36:21","date_gmt":"2025-02-18T14:36:21","guid":{"rendered":"https:\/\/oerlabs.com.br\/blog\/?p=766"},"modified":"2025-02-18T14:36:23","modified_gmt":"2025-02-18T14:36:23","slug":"microsoft-descobre-nova-variante-do-malware-xcsset-macos-com-taticas-avancadas-de-ofuscacao","status":"publish","type":"post","link":"https:\/\/oerlabs.com.br\/blog\/2025\/02\/18\/microsoft-descobre-nova-variante-do-malware-xcsset-macos-com-taticas-avancadas-de-ofuscacao\/","title":{"rendered":"Microsoft descobre nova variante do malware XCSSET macOS com t\u00e1ticas avan\u00e7adas de ofusca\u00e7\u00e3o"},"content":{"rendered":"\n

A Microsoft informou que descobriu uma nova variante de um malware conhecido do macOS da Apple, chamado XCSSET,<\/strong> como parte de ataques limitados em andamento.<\/p>\n\n\n\n

“Sua primeira variante conhecida desde 2022, este malware XCSSET mais recente apresenta m\u00e9todos de ofusca\u00e7\u00e3o aprimorados, mecanismos de persist\u00eancia atualizados e novas estrat\u00e9gias de infec\u00e7\u00e3o”, disse<\/a> a equipe de Intelig\u00eancia de Amea\u00e7as da Microsoft em uma publica\u00e7\u00e3o compartilhada no X.<\/p>\n\n\n\n

“Esses recursos aprimorados se somam aos recursos j\u00e1 conhecidos dessa fam\u00edlia de malware, como direcionar carteiras digitais, coletar dados do aplicativo Notes e exfiltrar informa\u00e7\u00f5es e arquivos do sistema.”<\/p>\n\n\n\n

XCSSET \u00e9 um malware modular sofisticado para macOS que \u00e9 conhecido por atingir usu\u00e1rios infectando projetos Apple Xcode. Foi documentado pela primeira vez<\/a> pela Trend Micro em agosto de 2020.<\/p>\n\n\n\n

Itera\u00e7\u00f5es subsequentes do malware<\/a> foram encontradas para se adaptar para comprometer vers\u00f5es mais recentes do macOS, bem como os pr\u00f3prios chipsets M1 da Apple. Em meados de 2021, a empresa de seguran\u00e7a cibern\u00e9tica observou que o XCSSET havia sido atualizado para exfiltrar dados de v\u00e1rios aplicativos como Google Chrome, Telegram, Evernote, Opera, Skype, WeChat e aplicativos prim\u00e1rios da Apple, como Contatos e Notas.<\/p>\n\n\n\n

Outro relat\u00f3rio da Jamf, na mesma \u00e9poca, revelou<\/a> a capacidade do malware de explorar o CVE-2021-30713, um bug de bypass da estrutura de Transpar\u00eancia, Consentimento e Controle (TCC), como um dia zero para fazer capturas de tela da \u00e1rea de trabalho da v\u00edtima sem exigir permiss\u00f5es adicionais.<\/p>\n\n\n\n

Ent\u00e3o, mais de um ano depois, ele foi atualizado novamente<\/a> para adicionar suporte ao macOS Monterey. At\u00e9 o momento, as origens do malware permanecem desconhecidas.<\/p>\n\n\n\n

As \u00faltimas descobertas da Microsoft marcam a primeira grande revis\u00e3o desde 2022, usando m\u00e9todos de ofusca\u00e7\u00e3o aprimorados e mecanismos de persist\u00eancia que visam desafiar os esfor\u00e7os de an\u00e1lise e garantir que o malware seja iniciado toda vez que uma nova sess\u00e3o de shell for iniciada.<\/p>\n\n\n\n

Outra nova maneira como o XCSSET configura a persist\u00eancia envolve baixar um utilit\u00e1rio dockutil assinado de um servidor de comando e controle para gerenciar os itens do dock.<\/p>\n\n\n\n

“O malware ent\u00e3o cria um aplicativo Launchpad falso e substitui a entrada de caminho do Launchpad leg\u00edtimo no dock por esta falsa”, disse a Microsoft. “Isso garante que toda vez que o Launchpad for iniciado a partir do dock, tanto o Launchpad leg\u00edtimo quanto o payload malicioso sejam executados.”<\/p>\n\n\n\n

Fonte: thehackernews.com<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

A Microsoft informou que descobriu uma nova variante de um malware conhecido do macOS da Apple, chamado XCSSET, como parte de ataques limitados em andamento. “Sua primeira variante conhecida desde 2022, este malware XCSSET mais recente apresenta m\u00e9todos de ofusca\u00e7\u00e3o aprimorados, mecanismos de persist\u00eancia atualizados e novas estrat\u00e9gias de infec\u00e7\u00e3o”, disse a equipe de Intelig\u00eancia de Amea\u00e7as da Microsoft […]<\/p>\n","protected":false},"author":1,"featured_media":767,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","sfsi_plus_gutenberg_text_before_share":"","sfsi_plus_gutenberg_show_text_before_share":"","sfsi_plus_gutenberg_icon_type":"","sfsi_plus_gutenberg_icon_alignemt":"","sfsi_plus_gutenburg_max_per_row":"","footnotes":""},"categories":[7],"tags":[],"class_list":["post-766","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hackers"],"_links":{"self":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/766","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/comments?post=766"}],"version-history":[{"count":1,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/766\/revisions"}],"predecessor-version":[{"id":768,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/766\/revisions\/768"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media\/767"}],"wp:attachment":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media?parent=766"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/categories?post=766"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/tags?post=766"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}