Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware para Mac Malware XCSSET para macOS

Malware XCSSET para macOS

Por Mezo en Malware para Mac
Traducir a:

Investigadores de ciberseguridad han identificado una variante nueva y más sofisticada del malware XCSSET dirigido a macOS de Apple. Si bien actualmente se observa en ataques limitados, esta versión actualizada presenta mejoras significativas en sigilo, persistencia y exfiltración de datos.

¿Qué hace que esta variante sea diferente?

La última versión de XCSSET introduce varios cambios clave:

Segmentación por navegador y portapapeles : ahora monitorea el contenido del portapapeles en busca de direcciones de billeteras de criptomonedas y las reemplaza con direcciones controladas por atacantes para secuestrar transacciones.

Robo de datos ampliado : más allá de Safari, el malware ahora puede filtrar datos de Mozilla Firefox.

Sigilo y persistencia : al utilizar AppleScripts compilados de solo ejecución y entradas LaunchDaemon, sigue siendo difícil detectar y mantener la persistencia en los sistemas infectados.

Cadena de infección mejorada : los cambios en la cuarta etapa del ataque implican la obtención de un AppleScript de etapa final responsable de la recopilación de información del sistema y la ejecución del módulo a través de una función boot().

Cómo XCSSET infecta macOS

XCSSET ataca principalmente a proyectos Xcode utilizados por desarrolladores de software. Al compilar estos proyectos, el malware activa y ejecuta sus módulos maliciosos. Si bien se desconoce el método de distribución exacto, se sospecha que los proyectos Xcode compartidos o clonados son un vector importante.

A principios de este año, los investigadores notaron mejoras que incluyen un mejor manejo de errores y la implementación de tres técnicas de persistencia diseñadas para extraer datos confidenciales de los sistemas comprometidos.

Módulos nuevos y actualizados

La última variante presenta varios módulos nuevos o modificados, cada uno de los cuales realiza funciones maliciosas específicas:

vexyeqj (anteriormente seizecj)

  • Descarga un módulo llamado bnk usando osascript.
  • Maneja la validación de datos, el cifrado/descifrado, la comunicación C2 y el registro.
  • Incorpora capacidades de secuestro del portapapeles.

neq_cdyd_ilvcmwx

  • Exfiltra archivos al servidor C2, de forma similar al antiguo módulo txzx_vostfdi.

xmyyeqjx

  • Establece persistencia basada en LaunchDaemon.

Jey

  • Implementa persistencia basada en Git.

iewmilh_cdyd

  • Roba datos del navegador Firefox utilizando una herramienta HackBrowserData modificada.

Las actualizaciones adicionales incluyen verificaciones de la aplicación de mensajería Telegram y modificaciones lógicas en varios módulos.

Medidas de mitigación y seguridad

Para reducir el riesgo que supone XCSSET, los usuarios de macOS deben:

  • Mantenga sus sistemas y software completamente actualizados.
  • Inspeccione cuidadosamente los proyectos de Xcode obtenidos de repositorios o fuentes externas.
  • Tenga cuidado al copiar o pegar información confidencial, especialmente direcciones de billeteras de criptomonedas.

Este formato estructurado resalta la evolución del malware, los detalles técnicos y los consejos prácticos de mitigación, manteniendo intacta toda la información esencial.

Tendencias

Mas Visto

Cargando...