Los investigadores de ciberseguridad han descubierto una versión actualizada del conocido malware Apple MacOS llamado XCSSet, que se observó en ataques limitados.
«Esta nueva variante de XCSSet trae cambios importantes relacionados con la orientación del navegador, el secuestro de portapapeles y los mecanismos de persistencia», dijo el equipo de inteligencia de amenazas de Microsoft en un informe el jueves.
«Utiliza técnicas sofisticadas de cifrado y ofuscación, utiliza ApleScripts compilados solo por ejecución para la ejecución de sigilo y extiende las capacidades de exfiltración de datos para incluir datos del navegador Firefox.
XCSSet es un nombre asignado a sofisticado malware modular diseñado para infectar proyectos de XCode utilizados por los desarrolladores de software y desatar características maliciosas cuando se construye. No está claro exactamente cómo se distribuirá el malware, pero se sospecha que la propagación se basa en archivos del proyecto XCode compartidos entre los desarrolladores que crean aplicaciones en MacOS.
A principios de marzo, Microsoft reveló algunas mejoras en el malware, destacando su mejor manejo de errores y el uso de tres tecnologías de persistencia diferentes para desviar datos de susceptibilidad de hosts comprometidos.
Se ha encontrado que las últimas variantes de XCSSet incorporan submódulos Clipper que monitorean el contenido del portapapeles para expresiones específicas de expresiones regulares (también conocidas como reglas) que coinciden con varias billeteras de criptomonedas. Si se produce una coincidencia, el malware procederá a redirigir la transacción, reemplazando la dirección de la billetera del portapapeles con uno controlado por el atacante.
Los fabricantes de Windows también señalaron que la nueva iteración introduce un cambio de cuarta fase en la cadena de infección. En particular, la aplicación AppleScript ejecuta los comandos de shell para recopilar información del sistema y obtiene la etapa final AppleScript donde usa la función Boot () para iniciar varios submódulos.
En particular, los cambios incluyen verificaciones adicionales para el navegador Mozilla Firefox y la lógica modificada para determinar la existencia de la aplicación de mensajería de telegrama. También observamos varios cambios de módulos y nuevos módulos que no estaban presentes en versiones anteriores.
Vexyeqj, un módulo de información llamado SEizecj, descarga un módulo llamado BNK, que se ejecuta usando OscialScript. El script define las capacidades de validación de datos, cifrado, descifrado, recuperación de datos adicionales del servidor de comando y control (C2), y registro. También incluye una característica de Clipper. Establezca el módulo que elimina los archivos en el servidor C2 XMYYEQJX, un módulo similar a NEQ_CDYD_ILVCMWX, un módulo que elimina archivos en el servidor C2 Xmyyeqjx, un módulo que configura la persistencia basada en Lanzador Jey y un módulo que establece la persistencia basada en Git Iwmilh_cdyd.
Para mitigar la amenaza planteada por XCSSet, se recomienda que los usuarios mantengan sus sistemas actualizados, inspeccionen los proyectos de Xcode descargados o clonados desde el repositorio u otras fuentes, y tengan cuidado al copiar y pegar datos confidenciales del portapapeles.
Source link
