Variante del malware XCSSET
I ricercatori hanno identificato una nuova variante del malware XCSSET per macOS, che segna la sua prima iterazione nota dal 2022. Questa versione aggiornata è stata osservata in attacchi limitati, mostrando tecniche di offuscamento migliorate, meccanismi di persistenza migliorati e nuove strategie di infezione. Questi progressi si basano sulle capacità esistenti di XCSSET, che includono la compromissione dei portafogli digitali, l'estrazione di dati dall'app Note e l'esfiltrazione di informazioni di sistema sensibili.
Sommario
Una minaccia persistente dal 2020
XCSSET è venuto alla luce per la prima volta nell'agosto 2020 come una minaccia modulare per macOS che si diffondeva principalmente infettando i progetti Apple Xcode. Nel tempo, il malware si è evoluto, adattandosi alle versioni più recenti di macOS e persino ai chipset M1 di Apple. A metà del 2021, i ricercatori di sicurezza informatica hanno scoperto che XCSSET era stato modificato per sottrarre dati da varie applicazioni, tra cui Google Chrome, Telegram, Evernote, Opera, Skype, WeChat e le applicazioni native di Apple come Contatti e Note.
Sfruttamento delle vulnerabilità per la sorveglianza
Uno degli aspetti più preoccupanti dell'evoluzione di XCSSET è la sua capacità di sfruttare le vulnerabilità per espandere la sua portata. Nel 2021, i ricercatori hanno scoperto che il malware sfruttava CVE-2021-30713, un bug di bypass del framework Transparency, Consent and Control (TCC). Sfruttando questa falla, XCSSET poteva catturare screenshot del desktop della vittima senza aver bisogno di autorizzazioni aggiuntive, dimostrando la sua adattabilità nello sfruttare le falle di sicurezza.
Tenere il passo con gli aggiornamenti di macOS
Anche dopo l'esposizione pubblica delle sue capacità, XCSSET ha continuato a evolversi. Oltre un anno dopo l'aggiornamento del 2021, il malware ha ricevuto un'altra revisione per garantire la compatibilità con macOS Monterey. Nonostante gli sforzi di ricerca e monitoraggio in corso, l'origine di XCSSET rimane un mistero, il che lo rende una preoccupazione persistente per gli utenti macOS.
Offuscamento e persistenza: gli ultimi progressi
L'ultima iterazione di XCSSET si concentra sul rendere più impegnativo il rilevamento e la rimozione. Con tecniche di offuscamento avanzate e meccanismi di persistenza rinforzati, il malware è progettato per eludere l'analisi di sicurezza assicurandosi al contempo di rimanere attivo. Uno dei suoi trucchi più recenti include l'avvio automatico con ogni nuova sessione shell, consolidando ulteriormente il suo punto d'appoggio sui sistemi infetti.
Manipolazione del Dock macOS per l'esecuzione furtiva
Tra i nuovi metodi impiegati da XCSSET per la persistenza c'è la manipolazione del Dock macOS. Il malware scarica una versione firmata dell'utilità dockutil da un server Command-and-Control per gestire gli elementi del Dock. Quindi crea un'applicazione Launchpad contraffatta e sostituisce il percorso del Launchpad legittimo nel Dock. Di conseguenza, ogni volta che un utente avvia Launchpad, l'applicazione legittima e il payload minaccioso vengono eseguiti, consentendo al malware di operare senza essere rilevato.
Una minaccia continua senza un'origine chiara
La ricomparsa di XCSSET sottolinea l'adattabilità e la resilienza delle minacce macOS. Con ogni nuova versione, affina le sue tattiche per restare al passo con le difese di sicurezza, rendendo essenziale una vigilanza continua. Sebbene le sue origini rimangano sconosciute, una cosa è chiara: XCSSET continua a essere una sfida formidabile sia per i professionisti della sicurezza informatica che per gli utenti macOS.
