Portada » Home » XCSSET Mac Malware roba información, se propaga a través de proyectos Xcode

XCSSET Mac Malware roba información, se propaga a través de proyectos Xcode

Una pieza de malware recién descubierta diseñada para atacar sistemas macOS se propaga a través de proyectos Xcode y explota lo que los investigadores han descrito como dos vulnerabilidades de día cero.

Con el nombre de XCSSET, el malware puede permitir a su operador robar información confidencial y lanzar ataques de ransomware, informó Trend Micro el jueves. Específicamente, puede ayudar a los piratas informáticos a obtener información asociada con las aplicaciones Evernote, Skype, Notes, QQ, WeChat y Telegram, capturar capturas de pantalla y cargar archivos en el servidor de los atacantes.

También puede cifrar archivos y mostrar una nota de rescate, y puede lanzar ataques de secuencias de comandos universales entre sitios (UXSS) en un esfuerzo por inyectar código JavaScript en los sitios web visitados por la víctima. Esto le permite modificar sitios web, incluido el reemplazo de direcciones de criptomonedas, y robar credenciales para servicios en línea e información de tarjetas de pago de Apple Store.

Un aspecto que hace que XCSSET sea interesante es el hecho de que se propaga a través de proyectos para Xcode, el entorno de desarrollo integrado de Apple para macOS. Los atacantes inyectan código malicioso en proyectos de Xcode y el código se ejecuta cuando se construye el proyecto.

Trend Micro indicó que ha detectado dos proyectos de Xcode inyectados con el malware, uno el 13 de julio y otro el 31 de julio. Si bien es menos probable que estos proyectos en particular sean integrados por otros desarrolladores en sus propios proyectos, la compañía de ciberseguridad advierte que el método de distribución puede ser muy eficaz si los proyectos más populares se ven comprometidos, lo que lleva a lo que describió como un «ataque similar a una cadena de suministro».

“También hemos identificado esta amenaza en fuentes como VirusTotal, lo que indica que esta amenaza está en general”, advirtió Trend Micro.

También señaló: “Los desarrolladores afectados distribuirán involuntariamente el troyano malicioso a sus usuarios en forma de proyectos Xcode comprometidos, y los métodos para verificar el archivo distribuido (como la verificación de hashes) no ayudarían, ya que los desarrolladores ignorarían que están distribuir archivos maliciosos «.

Un análisis del servidor C&C utilizado por XCSSET reveló una lista de 380 direcciones IP de víctimas, incluidas 152 en China y 103 en India. Sin embargo, Trend Micro dice que no tiene nada que compartir en este momento con respecto a una posible conexión con actores de amenazas conocidos.

Los investigadores de la compañía también descubrieron que XCSSET explota lo que parecen ser dos vulnerabilidades de día cero. Una está relacionada con las bóvedas de datos, que están diseñadas para proteger contra el acceso no autorizado a los datos, ya sea que la aplicación solicitante esté en un espacio aislado o no. El malware aprovecha esta vulnerabilidad para robar un archivo de cookies de Safari, que almacena información asociada con los sitios web visitados. Trend Micro señaló que la explotación de esta vulnerabilidad requiere otra falla de escape de sandbox o privilegios de administrador en el sistema de destino.

La segunda vulnerabilidad aparente de día cero explotada por XCSSET permite a los atacantes ejecutar la versión de desarrollo de Safari cuando la víctima abre el navegador web. La versión de desarrollo no tiene espacio aislado, lo que permite al atacante inyectar código JavaScript malicioso que se puede ejecutar sin restricciones. El código malicioso se inyecta mediante un ataque UXSS.

Trend Micro le dijo a SecurityWeek que informó sus hallazgos a Apple, y mientras la compañía está trabajando para realizar cambios en las futuras versiones de macOS que podrían mitigar la falla relacionada con Data Vault, Apple ve el problema relacionado con la versión de desarrollo de Safari como un comportamiento previsto.