Malware que se propaga a través de proyectos de Xcode ahora apunta al M1 de Apple

Se ha rediseñado una campaña de malware para Mac dirigida a los desarrolladores de Xcode para agregar soporte para los nuevos chips M1 de Apple y expandir sus funciones para robar información confidencial de las aplicaciones de criptomonedas.

XCSSET se convirtió en el centro de atención en agosto de 2020 después de que se descubrió que se propagaba a través de proyectos IDE de Xcode modificados, que, en el edificio, se configuraron para ejecutar la carga útil. El malware vuelve a empaquetar los módulos de carga útil para imitar las aplicaciones legítimas de Mac, que son en última instancia responsables de infectar los proyectos locales de Xcode e inyectar la carga útil principal para que se ejecute cuando se compile el proyecto comprometido.

Los módulos XCSSET vienen con la capacidad de robar credenciales, capturar capturas de pantalla, inyectar JavaScript malicioso en sitios web, saquear datos de usuarios de diferentes aplicaciones e incluso cifrar archivos para obtener un rescate.

Luego, en marzo de 2021, los investigadores de Kaspersky descubrieron muestras XCSSET compiladas para los nuevos chips Apple M1, lo que sugiere que la campaña de malware no solo estaba en curso, sino que también los adversarios están adaptando activamente sus ejecutables y transfiriéndolos para que se ejecuten en los nuevos Apple Silicon Macs de forma nativa.

La última investigación de Trend Micro muestra que XCSSET continúa abusando de la versión de desarrollo del navegador Safari para instalar puertas traseras de JavaScript en sitios web a través de ataques de Universal Cross-site Scripting (UXSS).

«Aloja los paquetes de actualización de Safari en el servidor [de comando y control], luego descarga e instala los paquetes para la versión del sistema operativo del usuario», dijeron los investigadores de Trend Micro en un análisis publicado el viernes. «Para adaptarse al recién lanzado Big Sur, se agregaron nuevos paquetes para ‘Safari 14′».

Además de troyanizar Safari para extraer datos, el malware también es conocido por explotar el modo de depuración remota en otros navegadores como Google Chrome, Brave, Microsoft Edge, Mozilla Firefox, Opera, Qihoo 360 Browser y Yandex Browser para llevar a cabo ataques UXSS. .

Además, el malware ahora incluso intenta robar información de la cuenta de varios sitios web, incluidas las plataformas de comercio de criptomonedas Huobi, Binance, NNCall.net, Envato y 163.com, con capacidades para reemplazar la dirección en la billetera de criptomonedas de un usuario con las que están bajo el control del atacante.

El modo de distribución de XCSSET a través de proyectos Xcode manipulados representa una seria amenaza, ya que los desarrolladores afectados que comparten sin saberlo su trabajo en GitHub podrían transmitir el malware a sus usuarios en forma de proyectos Xcode comprometidos, lo que lleva a «un ataque similar a una cadena de suministro para los usuarios que confían en estos repositorios como dependencias en sus propios proyectos «.