Los investigadores de ciberseguridad han descubierto una versión actualizada de un conocido malware de Apple macOS llamado XCSSET eso se ha observado en ataques limitados.
«Esta nueva variante de XCSSET trae cambios clave relacionados con la segmentación del navegador, el secuestro del portapapeles y los mecanismos de persistencia», dijo el equipo de Inteligencia de Amenazas de Microsoft dijo en un informe del jueves.
«Emplea técnicas sofisticadas de cifrado y ofuscación, utiliza AppleScripts compilados solo para ejecución sigilosa y amplía sus capacidades de exfiltración de datos para incluir los datos del navegador Firefox. También añade otro mecanismo de persistencia mediante las entradas de LaunchDaemon».
XCSSET es el nombre que se le asigna a un sofisticado malware modular diseñado para infectar los proyectos de Xcode utilizados por los desarrolladores de software y liberar sus capacidades maliciosas cuando se está creando. Aún no está claro cómo se distribuye exactamente el malware, pero se sospecha que la propagación se debe a que los desarrolladores que crean aplicaciones para macOS comparten los archivos de los proyectos de Xcode.
A principios de marzo, Microsoft descubierto varias mejoras en el malware, destacando su mejor manejo de errores y el uso de tres técnicas de persistencia diferentes para extraer datos confidenciales de los hosts comprometidos.
Se ha descubierto que la última variante de XCSSET incorpora un submódulo clipper que monitorea el contenido del portapapeles en busca de patrones específicos de expresiones regulares (también conocidos como expresiones regulares) que coincidan con varias carteras de criptomonedas. En caso de que coincidan, el malware procede a sustituir la dirección del monedero que aparece en el portapapeles por una dirección controlada por un atacante para redirigir las transacciones.
El fabricante de Windows también señaló que la nueva iteración introduce cambios en la cuarta etapa de la cadena de infección, especialmente cuando se utiliza una aplicación AppleScript para ejecutar un comando de shell para obtener el AppleScript de última etapa, que es responsable de recopilar la información del sistema y lanzar varios submódulos mediante una función boot ().
Cabe destacar que las modificaciones incluyen comprobaciones adicionales para el navegador Mozilla Firefox y una lógica alterada para determinar la presencia de la aplicación de mensajería Telegram. También se observan cambios en los distintos módulos, así como nuevos módulos que no existían en las versiones anteriores -
- vexyeqj, el módulo de información que antes se llamaba seizecj y que descarga un módulo llamado bnk que se ejecuta mediante osascript. El script define funciones para la validación, el cifrado y el descifrado de datos, la obtención de datos adicionales del servidor de comando y control (C2) y el registro. También incluye la funcionalidad clipper.
- neq_cdyd_ilvcmwx, un módulo similar a txzx_vostfdi que exfiltra archivos al servidor C2
- xmyyeqjx, un módulo para configurar la persistencia basada en LaunchDaemon
- jey, un módulo para configurar la persistencia basada en Git
- iewmilh_cdyd, un módulo para robar datos de Firefox mediante una versión modificada de una herramienta disponible públicamente llamada Hackear datos del navegador
Para mitigar la amenaza que representa XCSSET, se recomienda a los usuarios que se aseguren de mantener su sistema actualizado, inspeccionar los proyectos de Xcode descargados o clonados de repositorios u otras fuentes y tener cuidado al copiar y pegar datos confidenciales del portapapeles.