Microsoft dijo que ha descubierto una nueva variante de un malware de Apple MacOS conocido llamado Xcset Como parte de los ataques limitados en la naturaleza.
«Su primera variante conocida desde 2022, este último malware XCSSet presenta métodos de ofuscación mejorados, mecanismos de persistencia actualizados y nuevas estrategias de infección», dijo el equipo de inteligencia de amenazas de Microsoft en una publicación compartida en X.
«Estas características mejoradas se suman a las capacidades conocidas previamente de esta familia de malware, como apuntar a billeteras digitales, recopilar datos de la aplicación Notes y exfiltrar información y archivos del sistema».
XCSSET es un sofisticado malware de macOS modulares que se sabe que se dirige a los usuarios al infectar los proyectos Apple XCode. Primero fue documentado por Trend Micro en agosto de 2020.
Se ha encontrado que las iteraciones posteriores del malware se adaptan al compromiso de versiones más recientes de MacOS, así como los propios conjuntos de chips M1 de Apple. A mediados de 2011, la compañía de seguridad cibernética señaló que XCSSet se había actualizado para exfiltrado datos de varias aplicaciones como Google Chrome, Telegram, Evernote, Opera, Skype, WeChat y Apple aplicaciones de primera parte como contactos y notas.
Otro informe de JAMF aproximadamente al mismo tiempo reveló la capacidad del malware para explotar el error del marco CVE-2021-30713, una transparencia, consentimiento y control del marco de control (TCC), como un día cero para tomar capturas de pantalla del escritorio de la víctima sin requerir permisiones adicionales adicionales. .
Luego, más de un año después, se actualizó nuevamente para agregar soporte para MacOS Monterey. Al escribir, los orígenes del malware siguen siendo desconocidos.
Los últimos hallazgos de Microsoft marcan la primera revisión importante desde 2022, utilizando métodos de ofuscación mejorados y mecanismos de persistencia que están dirigidos a esfuerzos de análisis desafiantes y garantizar que el malware se lance cada vez que se inicia una nueva sesión de shell.
Otra manera novedosa de XCSSet establece la persistencia implica descargar una utilidad DockUtil firmada de un servidor de comando y control para administrar los elementos del muelle.
«El malware luego crea una aplicación Fake LaunchPad y reemplaza la entrada de la ruta de Lastimate LaunchPad en el muelle con este falso», dijo Microsoft. «Esto garantiza que cada vez que se inicia el lanzamiento de la muelle, tanto el lanzamiento legítimo como el lanzamiento de la carga maliciosa se ejecutan».