Pesquisadores da Microsoft Threat Intelligence detectaram uma nova variante do malware XCSSET, originalmente identificado em 2020, que agora apresenta técnicas avançadas de ofuscação e novos métodos de persistência, visando dispositivos macOS. Essa versão aprimorada do malware é capaz de roubar informações de carteiras de criptomoedas, acessar dados do aplicativo Notas e manipular endereços de Bitcoin exibidos no navegador, redirecionando fundos para contas controladas por agentes mal-intencionados.
O XCSSET foi inicialmente documentado pela Trend Micro em agosto de 2020, destacando-se por comprometer projetos desenvolvidos no Apple Xcode. Desde então, o malware tem evoluído para contornar medidas de segurança do macOS, incluindo suporte a processadores Apple M1 e versões mais recentes do sistema operacional. Em 2021, relatórios indicaram que o XCSSET havia sido atualizado para roubar dados de aplicativos populares como Google Chrome, Telegram, Evernote, Opera, Skype e WeChat, além de aplicativos nativos da Apple, como Contatos e Notas.
A nova variante identificada pela Microsoft apresenta avanços significativos, incluindo melhorias nos métodos de ofuscação para dificultar a detecção e novas técnicas de persistência que garantem sua execução contínua. Uma dessas técnicas envolve o download de um utilitário assinado, chamado dockutil, a partir de um servidor de comando e controle (C2), utilizado para manipular itens do dock do macOS.
O malware cria um aplicativo Launchpad falso e substitui a entrada legítima no dock por essa versão alterada, permitindo que, toda vez que o Launchpad seja iniciado, tanto a versão oficial quanto o payload malicioso sejam executados.
Além disso, o malware é capaz de gravar a tela da vítima e criptografar arquivos, indicando um potencial uso em ataques de ransomware. A Microsoft informou que essa nova variante foi detectada apenas em “ataques limitados” até o momento e divulgou essas informações para auxiliar empresas e usuários a se protegerem.
Para mitigar os riscos associados a essa ameaça, é recomendável que desenvolvedores e usuários inspecionem e verifiquem qualquer projeto Xcode baixado ou clonado de repositórios, uma vez que o malware geralmente se espalha por meio de projetos infectados. Além disso, é aconselhável instalar aplicativos apenas de fontes confiáveis, como a loja oficial da plataforma de software. O Microsoft Defender for Endpoint no Mac é capaz de detectar essa nova variante do malware, oferecendo uma camada adicional de proteção para os usuários.
A evolução contínua do XCSSET destaca a necessidade de medidas de segurança robustas para proteger dispositivos macOS contra ameaças emergentes. Manter o sistema operacional e os aplicativos sempre atualizados, evitar a instalação de software de fontes desconhecidas e utilizar soluções de segurança confiáveis são práticas essenciais para minimizar os riscos associados a malwares como o XCSSET.
Aproveite e junte-se ao nosso canal no WhatsApp para receber conteúdos exclusivos em primeira mão. Clique aqui para participar. Startupi | Jornalismo para quem lidera inovação!
