Variant de programari maliciós XCSSET
Els investigadors han identificat una nova variant del programari maliciós XCSSET macOS, que marca la seva primera iteració coneguda des del 2022. Aquesta versió actualitzada s'ha observat en atacs limitats, mostrant tècniques d'ofuscament millorades, mecanismes de persistència millorats i noves estratègies d'infecció. Aquests avenços es basen en les capacitats existents de XCSSET, que inclouen comprometre carteres digitals, extreure dades de l'aplicació Notes i extreure informació sensible del sistema.
Taula de continguts
Una amenaça persistent des del 2020
XCSSET va sortir a la llum per primera vegada l'agost de 2020 com una amenaça modular de macOS que es va estendre principalment infectant projectes Apple Xcode. Amb el temps, el programari maliciós ha evolucionat, adaptant-se a les noves versions de macOS i fins i tot als chipsets M1 d'Apple. A mitjans de 2021, els investigadors de ciberseguretat van trobar que XCSSET s'havia modificat per desviar dades de diverses aplicacions, com ara Google Chrome, Telegram, Evernote, Opera, Skype, WeChat i les aplicacions natives d'Apple com Contactes i Notes.
Explotació de les vulnerabilitats per a la vigilància
Un dels aspectes més preocupants de l'evolució de XCSSET és la seva capacitat per explotar vulnerabilitats per ampliar el seu abast. L'any 2021, els investigadors van descobrir que el programari maliciós aprofitava CVE-2021-30713, un error de transparència, consentiment i control (TCC). Aprofitant aquest defecte, XCSSET podria capturar captures de pantalla de l'escriptori de la víctima sense necessitat de permisos addicionals, demostrant la seva adaptabilitat per aprofitar les llacunes de seguretat.
Mantenir el ritme amb les actualitzacions de macOS
Fins i tot després de l'exposició pública de les seves capacitats, XCSSET va continuar evolucionant. Més d'un any després de la seva actualització de 2021, el programari maliciós va rebre una altra revisió per garantir la compatibilitat amb macOS Monterey. Malgrat els esforços de recerca i seguiment en curs, l'origen de XCSSET continua sent un misteri, cosa que el converteix en una preocupació persistent per als usuaris de macOS.
Ofuscament i persistència: els últims avenços
L'última iteració de XCSSET se centra a fer que la detecció i l'eliminació siguin més difícils. Amb tècniques avançades d'ofuscament i mecanismes de persistència reforçats, el programari maliciós està dissenyat per evadir l'anàlisi de seguretat alhora que garanteix que roman actiu. Un dels seus trucs més nous inclou el llançament automàtic amb cada nova sessió d'intèrpret d'ordres, consolidant encara més la seva posició en sistemes infectats.
Manipulació de macOS Dock per a una execució furtiva
Entre els nous mètodes que utilitza XCSSET per a la persistència és manipular el macOS Dock. El programari maliciós descarrega una versió signada de la utilitat dockutil des d'un servidor d'ordres i control per gestionar els elements del Dock. A continuació, crea una aplicació Launchpad falsa i substitueix el camí legítim del Launchpad al Dock. Com a resultat, cada vegada que un usuari llança Launchpad, l'aplicació legítima i la càrrega útil amenaçadora s'executen, permetent que el programari maliciós funcioni sense ser detectat.
Una amenaça contínua sense un origen clar
La reaparició de XCSSET subratlla l'adaptabilitat i la resistència de les amenaces de macOS. Amb cada versió nova, perfecciona les seves tàctiques per mantenir-se per davant de les defenses de seguretat, fent que la vigilància permanent sigui essencial. Tot i que els seus orígens segueixen sent desconeguts, una cosa és clara: XCSSET continua sent un repte formidable tant per als professionals de la ciberseguretat com per als usuaris de macOS.
