Los investigadores de ciberseguridad han descubierto una versión actualizada de un malware Apple MacOS conocido llamado Xcset Eso se ha observado en ataques limitados.
«Esta nueva variante de XCSSet trae cambios clave relacionados con la orientación del navegador, el secuestro de portapapeles y los mecanismos de persistencia», el equipo de inteligencia de amenazas de Microsoft dicho en un informe del jueves.
«Emplea técnicas sofisticadas de cifrado y ofuscación, utiliza AppleScripts compilados solo por ejecución para una ejecución sigilosa y expande sus capacidades de exfiltración de datos para incluir datos del navegador Firefox. También agrega otro mecanismo de persistencia a través de las entradas de lanzamiento de lanzamiento».
XCSSet es el nombre asignado a un sofisticado malware modular que está diseñado para infectar los proyectos de XCode utilizados por los desarrolladores de software y desatar sus capacidades maliciosas cuando se está construyendo. Exactamente cómo se distribuye el malware sigue sin estar claro, pero se sospecha que la propagación se basa en los archivos del proyecto XCode que se comparten entre los desarrolladores que crean aplicaciones para MacOS.
A principios de marzo, Microsoft descubierto Varias mejoras en el malware, destacando su mejor manejo de errores y el uso de tres técnicas de persistencia diferentes para desviar datos confidenciales de hosts comprometidos.
Se ha encontrado que la última variante de XCSSET incorpora un submódulo de Clipper que monitorea el contenido del portapapeles para patrones específicos de expresión regular (también conocido como Regex) que coinciden con varias billeteras de criptomonedas. En el caso de un partido, el malware procede a sustituir la dirección de la billetera en el portapapeles con un atacante controlado para redirigir las transacciones.
El fabricante de Windows también señaló que la nueva iteración introduce cambios en la cuarta etapa de la cadena de infección, particularmente cuando se utiliza una aplicación AppleScript para ejecutar un comando shell para obtener el AppleScript de etapa final responsable de recopilar información del sistema y lanzar varios submódulos utilizando una función Boot ().
En particular, las modificaciones incluyen verificaciones adicionales para el navegador Mozilla Firefox y una lógica alterada para determinar la presencia de la aplicación de mensajería de telegrama. También se observan cambios en los diversos módulos, así como nuevos módulos que no existían en versiones anteriores –
- VEXYEQJ, el módulo de información se llamó previamente SEZECJ, y que descarga un módulo llamado BNK que se ejecuta usando Osascript. El script define las funciones para la validación de datos, el cifrado, el descifrado, la obtención de datos adicionales del servidor de comando y control (C2) y registro. También incluye la funcionalidad de Clipper.
- NEQ_CDYD_ILVCMWX, un módulo similar a TXZX_VOSTFDI que exfiltra los archivos al servidor C2
- XMYYEQJX, un módulo para configurar la persistencia basada en la lanzamiento
- Jey, el módulo anteriormente llamado Jez, y que se usa para configurar la persistencia basada en GIT
- IEWMILH_CDYD, un módulo para robar datos de Firefox utilizando una versión modificada de una herramienta disponible públicamente nombrada Hackebrowserdata
Para mitigar la amenaza planteada por XCSSet, se recomienda a los usuarios para garantizar que mantengan su sistema actualizado, inspeccionan los proyectos de XCode descargados o clonados de repositorios u otras fuentes, y ejercer precaución cuando se trata de copiar y pegar datos confidenciales del portapapeles.
Sherrod DeGrippo, director de estrategia de inteligencia de amenazas en Microsoft, dijo a The Hacker News que los módulos se someten regularmente a pequeños cambios de nombre a medida que el malware evoluciona, a pesar de que su funcionalidad sigue siendo consistente.
«Lo que se destaca en esta variante es su capacidad para interceptar y manipular el contenido de portapapeles vinculado a las billeteras digitales», dijo DeGrippo. «Esto no es un reconocimiento pasivo; es una amenaza que socavará la confianza en algo tan básico como lo que copia y pegas.
«La última evolución de XCSSet muestra cómo se pueden armarse las herramientas de desarrollador. Con tácticas como secuestro de portapapeles, orientación ampliada del navegador y persistencia sigilosa, los actores de amenaza continúan aumentando el nivel de sofisticación que los defensores deben protegerse».
(La historia se actualizó después de la publicación para incluir una respuesta de Microsoft).
Fuente