Microsoft revela nova variante de Malware para MacOS XCSSET com táticas avançadas de ofuscação

Sticky 17/02/2025

A Microsoft disse que descobriu uma nova variante de um malware conhecido do Apple MacOS chamado XCSSET como parte de ataques limitados na natureza.

“Sua primeira variante conhecida desde 2022, este último malware XCSSET apresenta métodos de ofuscação aprimorados, mecanismos de persistência atualizados e novas estratégias de infecção”, disse a equipe do Microsoft Threat Intelligence disse em um post compartilhado no X.

“Esses recursos aprimorados adicionam aos recursos anteriormente conhecidos dessa família de malware, como segmentar carteiras digitais, coletar dados do aplicativo Notes e extrair informações e arquivos do sistema.”

O XCSSET é um sofisticado malware modular para macOS que é conhecido por atingir usuários infectando projetos do Apple Xcode. Foi documentado pela primeira vez pela Trend Micro em agosto de 2020.

Subsequente iterações do malware descobriu-se que se adaptam para comprometer as versões mais recentes do macOS, bem como os chipsets M1 da própria Apple. Em meados de 2021, a empresa de segurança cibernética observou que o XCSSET havia sido atualizado para extrair dados de vários aplicativos como Google Chrome, Telegram, Evernote, Opera, Skype, WeChat e aplicativos primários da Apple, como Contatos e Notas.

Outro relatório do Jamf na mesma época revelado a capacidade do malware de explorar o CVE-2021-30713, um bug de bypass de estrutura de Transparência, Consentimento e Controle (TCC), como um dia zero para tirar screenshots da área de trabalho da vítima sem exigir permissões adicionais.

Mais de um ano depois, foi atualizado novamente para adicionar suporte ao macOS Monterey. Até o momento, as origens do malware permanecem desconhecidas.

As últimas descobertas da Microsoft marcam a primeira grande revisão desde 2022, usando métodos aprimorados de ofuscação e mecanismos de persistência que visam desafiar os esforços de análise e garantir que o malware seja lançado toda vez que uma nova sessão de shell for iniciada.

Outra nova maneira XCSSET configura persistência implica o download de um utilitário dockutil assinado a partir de um servidor de comando e controle para gerenciar os itens dock.

“O malware então cria um aplicativo falso do Launchpad e substitui a entrada de caminho legítima do Launchpad no dock por essa falsa”, disse a Microsoft. “Isso garante que toda vez que o Launchpad é iniciado a partir do dock, tanto o Launchpad legítimo quanto a carga maliciosa são executados.”

Fonte: thehackernews.com

Administrador Sistema

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança Web e Servidores Empresariais.

DataCenter:
Av. São Paulo, 1223. João Pessoa, Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 09.452.853/0001-39

Provedor?
Rua: Clávio Molinari, 1298 Capão da Imbuia - Curitiba Paraná CE: 82810210
Registro: 20.962.496/0001-91

Central de Atendimento ao Cliente:
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br | https://www.hostcuritiba.net.br
contato@hostcuritiba.net.br - suporte@hostcuritiba.net.br - abuse@hostcuritiba.net.br