A Microsoft detectou uma nova versão do malware XCSSET direcionado ao macOS, que incorpora técnicas aprimoradas de ofuscação e novos mecanismos de persistência. Essa descoberta está associada a ataques limitados em andamento.
XCSSET evolui com novas táticas
De acordo com a equipe de Inteligência de Ameaças da Microsoft, essa é a primeira variante do malware identificada desde 2022. O novo XCSSET apresenta avanços significativos, incluindo:
- Melhorias nos métodos de ofuscação para dificultar a detecção.
- Novas técnicas de persistência que garantem sua execução contínua.
- Aperfeiçoamento das estratégias de infecção para ampliar seu alcance.
Esses avanços complementam os recursos já conhecidos do XCSSET, que incluem o roubo de informações de carteiras digitais, a coleta de dados do aplicativo Notes e a exfiltração de arquivos do sistema.
Um malware sofisticado e modular
O XCSSET foi documentado pela primeira vez pela Trend Micro em agosto de 2020, sendo caracterizado por sua capacidade de comprometer projetos desenvolvidos no Apple Xcode. Desde então, ele tem evoluído constantemente para contornar medidas de segurança do macOS, incluindo suporte aos processadores Apple M1 e versões mais recentes do sistema operacional.
Em 2021, foi relatado que o malware havia sido atualizado para roubar dados de aplicativos populares como Google Chrome, Telegram, Evernote, Opera, Skype e WeChat, além de aplicativos nativos da Apple, como Contatos e Notas.
Notícias Relacionadas
Segurança Cibernética
JavaScript malicioso compromete 150 mil sites e redireciona para jogos de azar
Uma campanha maliciosa comprometeu cerca de 150.000 sites por meio de injeções de JavaScript, redirecionando visitantes para plataformas de jogos de azar chinesas. Administradores de sites devem adotar medidas proativas para proteger suas plataformas.
Ataque cibernético
APT36 usa site falso do India Post para espalhar malware
O grupo APT36 criou um site falso do India Post para distribuir malware em dispositivos Windows e Android. O golpe usa arquivos PDF maliciosos e um app disfarçado para roubo de dados, explorando técnicas avançadas como ClickFix para infectar vítimas.
Na mesma época, um estudo da Jamf revelou que o XCSSET explorava a vulnerabilidade CVE-2021-30713, um bypass da estrutura de Transparência, Consentimento e Controle (TCC), permitindo capturas de tela da área de trabalho sem necessitar de permissão do usuário.
Desde então, o malware recebeu novas atualizações para manter sua eficácia, incluindo compatibilidade com o macOS Monterey. Entretanto, sua origem ainda permanece desconhecida.
Novo método de persistência
A análise recente da Microsoft mostra que a nova variante do XCSSET adota técnicas ainda mais sofisticadas para se manter ativo. Uma delas envolve o download de um utilitário assinado, chamado dockutil, a partir de um servidor de comando e controle (C2), utilizado para manipular itens do dock do macOS.
“O malware cria um aplicativo Launchpad falso e substitui a entrada do Launchpad legítimo no dock por essa versão alterada”, explicou a Microsoft. “Com isso, toda vez que o Launchpad for iniciado, tanto a versão oficial quanto o payload malicioso serão executados.”
Essa técnica permite que o XCSSET continue funcionando mesmo após reinicializações do sistema, aumentando sua persistência e dificultando sua remoção.
Conclusão
A evolução do XCSSET reforça a necessidade de medidas de segurança robustas para proteger dispositivos macOS contra ameaças emergentes. Recomenda-se que desenvolvedores e usuários fiquem atentos a atualizações de segurança e evitem a instalação de aplicativos de fontes desconhecidas.
