Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware para Mac Malware XCSSET macOS

Malware XCSSET macOS

Por Mezo em Malware para Mac
Traduzir Para:

Pesquisadores de segurança cibernética identificaram uma nova variante mais sofisticada do malware XCSSET, que tem como alvo o macOS da Apple. Embora atualmente observada em ataques limitados, esta versão atualizada demonstra melhorias significativas em furtividade, persistência e exfiltração de dados.

O que torna esta variante diferente?

A versão mais recente do XCSSET introduz diversas mudanças importantes:

Segmentação de navegador e área de transferência : agora ele monitora o conteúdo da área de transferência em busca de endereços de carteiras de criptomoedas, substituindo-os por endereços controlados por invasores para sequestrar transações.

Roubo de dados expandido : além do Safari, o malware agora pode exfiltrar dados do Mozilla Firefox.

Furtividade e persistência : usando AppleScripts compilados somente para execução e entradas LaunchDaemon, continua difícil detectar e manter a persistência em sistemas infectados.

Cadeia de infecção aprimorada : as alterações no quarto estágio do ataque envolvem a busca de um AppleScript de estágio final responsável pela coleta de informações do sistema e execução do módulo por meio de uma função boot().

Como o XCSSET infecta o macOS

O XCSSET tem como alvo principal projetos Xcode usados por desenvolvedores de software. Quando esses projetos são criados, o malware ativa e executa seus módulos maliciosos. Embora o método exato de distribuição não seja claro, suspeita-se que projetos Xcode compartilhados ou clonados sejam um vetor importante.

No início deste ano, pesquisadores notaram melhorias, incluindo melhor tratamento de erros e a implementação de três técnicas de persistência projetadas para desviar dados confidenciais de sistemas comprometidos.

Módulos novos e atualizados

A variante mais recente apresenta vários módulos novos ou modificados, cada um executando funções maliciosas específicas:

vexyeqj (anteriormente seizecj)

  • Baixa um módulo chamado bnk usando osascript.
  • Lida com validação de dados, criptografia/descriptografia, comunicação C2 e registro.
  • Incorpora recursos de sequestro de área de transferência.

neq_cdyd_ilvcmwx

  • Exfiltra arquivos para o servidor C2, semelhante ao antigo módulo txzx_vostfdi.

xmyyeqjx

  • Estabelece persistência baseada em LaunchDaemon.

Jey

  • Implementa persistência baseada em Git.

iewmilh_cdyd

  • Rouba dados do navegador Firefox usando uma ferramenta HackBrowserData modificada.

Atualizações adicionais incluem verificações no aplicativo de mensagens Telegram e modificações lógicas em vários módulos.

Medidas de mitigação e segurança

Para reduzir o risco representado pelo XCSSET, os usuários do macOS devem:

  • Mantenha seus sistemas e softwares totalmente atualizados.
  • Inspecione cuidadosamente os projetos Xcode obtidos de repositórios ou fontes externas.
  • Tenha cuidado ao copiar ou colar informações confidenciais, especialmente endereços de carteiras de criptomoedas.

Este formato estruturado destaca a evolução do malware, detalhes técnicos e conselhos práticos de mitigação, mantendo todas as informações essenciais intactas.

Tendendo

Mais visto

Carregando...