È emersa una nuova variante del malware MACOS XCSSET, rivolgendo agli utenti e agli sviluppatori MacOS in attacchi limitati, secondo i ricercatori delle minacce di Microsoft. Questa versione si basa sui suoi predecessori, noto per aver rubato informazioni e iniettando backdoor.
Nuovi varianti di malware XCSSET macOS target sviluppatori e utenti
XCSSET Malware si diffonde in genere attraverso progetti Xcode compromessi, che contengono file e impostazioni utilizzate nello sviluppo delle app con l’ambiente di sviluppo integrato di Apple (IDE). Il malware è stato una minaccia persistente per diversi anni, sfruttando in precedenza le vulnerabilità zero-day per attività dannose, come l’assunzione di schermate e il furto di biscotti del browser. L’attuale variante può anche raccogliere dati da app come note, file di sistema esfiltrati e target di portafogli digitali, utilizzando tecniche di offuscamento migliorate che complicano l’analisi.
Il malware ora incorpora nuove tecniche di infezione e persistenza. I ricercatori di Microsoft notato che può posizionare il suo carico utile in un progetto Xcode utilizzando metodi come Target, Regole o Forced_Strategy. Può anche inserire il payload all’interno della chiave Target_Device_Family nelle impostazioni di build, eseguendolo in una fase successiva. I meccanismi di persistenza includono la creazione di un file denominato ~/.zshrc_aliases che lancia il payload con ogni nuova sessione di shell e il download di uno strumento Dockutil firmato da un server di comando e controllo per gestire gli elementi dock.
Creando un’applicazione falsa di lancio e reindirizzando il percorso dell’applicazione legittima nel dock, XCSSET garantisce che sia i payload reali che quelli dannosi eseguono ogni volta che viene lanciato il lancio. Questo metodo distribuito consente al malware di influenzare in modo furtivo una gamma più ampia di vittime.
Questo gioco Steam è pieno di malware: l’hai scaricato?
Microsoft ha riferito che i recenti risultati rappresentano il primo importante aggiornamento a XCSSET dal 2022, evidenziando significativi miglioramenti dell’offuscamento del codice, dei metodi di persistenza e delle strategie di infezione. I ricercatori consigliano agli sviluppatori di ispezionare attentamente e verificare eventuali progetti Xcode clonati da fonti non ufficiali, poiché gli elementi dannosi possono essere nascosti all’interno.
XCSSET è riconosciuto come un sofisticato malware modulare mirato agli utenti MacOS compromettendo i progetti Xcode. Inizialmente documentato nell’agosto 2020 da Trend Micro, XCSSET si è adattato per compromettere le versioni MACOS più recenti e i chipset M1 di Apple. Le iterazioni precedenti avevano anche dimostrato la capacità di estrarre dati da varie applicazioni, tra cui Google Chrome, Telegram e app di Apple come contatti e note.
A metà del 2021, le nuove funzionalità di XCSSET includevano lo sfruttamento di una vulnerabilità zero-day, in particolare CVE-2021-30713, per prendere screenshot senza autorizzazioni adeguate. Le origini di questo malware rimangono sconosciute, con le ultime scoperte che enfatizzano la sua continua evoluzione e le persistenti minacce che rappresenta agli utenti MacOS.
Credito immagine in primo piano: Ales Nesetril/Unsplash
