Variante de malware XCSSET
Los investigadores han identificado una nueva variante del malware XCSSET para macOS, lo que supone su primera iteración conocida desde 2022. Esta versión actualizada se ha observado en ataques limitados, mostrando técnicas de ofuscación mejoradas, mecanismos de persistencia mejorados y nuevas estrategias de infección. Estos avances se basan en las capacidades existentes de XCSSET, que incluyen comprometer billeteras digitales, extraer datos de la aplicación Notas y exfiltrar información confidencial del sistema.
Tabla de contenido
Una amenaza persistente desde 2020
XCSSET salió a la luz por primera vez en agosto de 2020 como una amenaza modular para macOS que se propagaba principalmente infectando proyectos Xcode de Apple. Con el tiempo, el malware ha evolucionado y se ha adaptado a versiones más nuevas de macOS e incluso a los chipsets M1 de Apple. A mediados de 2021, los investigadores de ciberseguridad descubrieron que XCSSET había sido modificado para extraer datos de varias aplicaciones, incluidas Google Chrome, Telegram, Evernote, Opera, Skype, WeChat y las aplicaciones nativas de Apple, como Contactos y Notas.
Explotación de vulnerabilidades para vigilancia
Uno de los aspectos más preocupantes de la evolución de XCSSET es su capacidad para explotar vulnerabilidades para ampliar su alcance. En 2021, los investigadores descubrieron que el malware aprovechaba CVE-2021-30713, un error de omisión del marco de Transparencia, Consentimiento y Control (TCC). Al explotar esta falla, XCSSET podía capturar capturas de pantalla del escritorio de la víctima sin necesidad de permisos adicionales, lo que demuestra su adaptabilidad para aprovechar las lagunas de seguridad.
Mantenerse al día con las actualizaciones de macOS
Incluso después de que se hicieran públicas sus capacidades, XCSSET siguió evolucionando. Más de un año después de su actualización de 2021, el malware recibió otra revisión para garantizar su compatibilidad con macOS Monterey. A pesar de las constantes investigaciones y los esfuerzos de seguimiento, el origen de XCSSET sigue siendo un misterio, lo que lo convierte en una preocupación constante para los usuarios de macOS.
Ofuscación y persistencia: los últimos avances
La última versión de XCSSET se centra en hacer que la detección y eliminación sean más difíciles. Con técnicas de ofuscación avanzadas y mecanismos de persistencia reforzados, el malware está diseñado para evadir el análisis de seguridad y, al mismo tiempo, garantizar que permanezca activo. Uno de sus trucos más nuevos incluye el lanzamiento automático con cada nueva sesión de shell, lo que consolida aún más su presencia en los sistemas infectados.
Cómo manipular el Dock de macOS para una ejecución sigilosa
Entre los nuevos métodos que XCSSET emplea para la persistencia se encuentra la manipulación del Dock de macOS. El malware descarga una versión firmada de la utilidad dockutil desde un servidor de Comando y Control para administrar los elementos del Dock. Luego crea una aplicación Launchpad falsificada y reemplaza la ruta del Launchpad legítimo en el Dock. Como resultado, cada vez que un usuario inicia Launchpad, se ejecutan la aplicación legítima y la carga útil amenazante, lo que permite que el malware opere sin ser detectado.
Una amenaza continua sin un origen claro
El resurgimiento de XCSSET subraya la adaptabilidad y resiliencia de las amenazas de macOS. Con cada nueva versión, perfecciona sus tácticas para mantenerse a la vanguardia de las defensas de seguridad, lo que hace que la vigilancia constante sea esencial. Si bien sus orígenes siguen siendo desconocidos, una cosa está clara: XCSSET continúa siendo un desafío formidable tanto para los profesionales de la ciberseguridad como para los usuarios de macOS.
