XCSSET Malware

Os pesquisadores da Trend Micro relataram uma nova família de malware que explora o Xcode e pode levar a uma "toca do coelho" de cargas de malware. A ameaça de malware chamada XCSSET mostra uma ideia bastante engenhosa dos hackers; em vez de infectar usuários individuais, o malware deles entra na estrutura do Xcode. Ele pode então ser entregue em ataques do tipo cadeia de suprimentos.

O Xcode é um IDE (Integrated Development Environment) gratuito para o macOS e é usado para o desenvolvimento de vários aplicativos para o ecossistema da Apple. Embora o método exato não tenha sido descoberto, o XCSSET Malware penetra e modifica o projeto Xcode afetado para executar o código corrompido quando o projeto é construído. O que isso significa é que, inadvertidamente, os desenvolvedores estariam espalhando infecções de malware para os seus usuários. Já houveram alguns desenvolvedores que fizeram o upload de projetos Xcode comprometidos para o GitHub.

O XCSSET Malware Explora Duas Vulnerabilidades do Safari

Uma vez acionado no dispositivo da vítima, o XCSSET tem como alvo o navegador Safari por meio de duas vulnerabilidades não descobertas anteriormente. O primeiro dos bugs de dia zero é um método para ignorar o recurso SIP (Sistem Integrity Protection) que protege o arquivo de cookies do Safari localizado no /Library/Cookies/Cookies.binarycookies por meio de um processo SSHD. A segunda falha de dia zero está conectada ao Safari WebKit for Developers. Ele permite que o XCSSET contorne a etapa da senha do WebKit e execute operações ameaçadoras sem a aprovação do usuário. Dylib Hijacking também é possível.

Se o Malware XCSSET for bem-sucedido, ele pode causar estragos, graças à infinidade de recursos que possui. Ele pode ler e descartar cookies do Safari e usar os pacotes para realizar ataques UXSS (Universal Cross-site Scripting), injetando códigos JavaScript corrompidos nas páginas da Web exibidas pelo navegador. Isso pode levar a possibilidades quase ilimitadas para os hackers. Eles podem manipular e substituir bitcoins e outros endereços de carteira de criptomoeda, coletar informações de cartão de crédito vinculadas à loja da Apple, coletar credenciais do Google Chrome, Yandex, Apple ID, Paypal e outros. Informações privilegiadas também podem ser extraídas de aplicativos adicionais, como Skype, WeChat, QQ e Telegram. O Malware XCSSET também contém um módulo de ransomware com recursos de criptografia de arquivo e uma nota de resgate.

380 IPs de usuários infectados com XCSSET foram detectados pelos pesquisadores de segurança cibernética. Destes, 152 pertenciam a usuários localizados na China, seguidos por 103 vítimas da Índia.