Cercetătorii Microsoft au descoperit o nouă variantă a malware-ului XCSSET, deja utilizată în atacuri. Vorbim despre o actualizare majoră a malware-ului care amenința utilizatorii de macOS. Are mecanisme avansate de persistență, iar atacatorii adoptă strategii noi de infectare odată cu această versiune. Astfel, malware-ul a devenit mai sofisticat și mai greu de detectat ca oricând. Prin intermediul PeScurt aflăm mai multe detalii.
XCSSET este cunoscut pentru capacitatea sa de a fura portofele digitale, de a colecta date din aplicația Notes și de a exfiltra informații de sistem și fișiere. Prima variantă a acestui malware a fost detectată undeva în anul 2020. Principalul său mod de răspândire este prin infectarea proiectelor Apple Xcode, ceea ce permite instalarea automată a malware-ului pe alte dispozitive odată ce dezvoltatorii compilează și rulează codul.
De-a lungul anilor, XCSSET s-a „adaptat” la noile versiuni macOS și la cipurile Apple M-series. Până în 2021, malware-ul deja putea sustrage date din aplicații populare precum Google Chrome, Telegram, Evernote, Opera, Skype și WeChat, dar și din aplicațiile native Apple precum Contacts și Notes. În plus, exploata o vulnerabilitate în cadrul TCC (Transparency, Consent and Control) pentru a face capturi de ecran fără permisiunea utilizatorului.
Ultimele descoperiri Microsoft arată că noua variantă a XCSSET este deosebit de dificil de identificat. Malware-ul utilizează o metodă inedită pentru a rămâne activ pe sistemele infectate. Se pare că descarcă un utilitar numit „dockutil” de pe un server de comandă și control, iar apoi creează o versiune falsă a aplicației Launchpad. Malware-ul înlocuiește calea către Launchpad-ul original în Dock cu această versiune modificată, astfel încât, la fiecare lansare, atât aplicația legitimă, cât și malware-ul sunt executate simultan.
Cum ne protejăm? Experții recomandă utilizatorilor de macOS să își mențină Mac-urile actualizare la ultima versiune software și să instaleze aplicații și programe doar din surse de încredere.
