El equipo de Microsoft Threat Intelligence ha detectado una nueva variante de XCSSET, un malware diseñado para infectar proyectos de Xcode, la herramienta de desarrollo de Apple. Esta versión mejorada introduce novedades preocupantes en el robo de datos y el control de navegadores.
¿Lo más destacable? Ahora XCSSET apunta a datos de Firefox, secuestra el portapapeles para manipular direcciones de wallets de criptomonedas y mejora sus mecanismos de persistencia en el sistema. Todo ello con técnicas de cifrado y ofuscación más sofisticadas.
¿Qué es XCSSET y por qué debería preocuparte?
XCSSET es un malware que se propaga infectando proyectos de Xcode, utilizados por desarrolladores de software de Apple. Su principal objetivo es robar información sensible y comprometer la seguridad de los sistemas macOS.
La peculiaridad de este malware reside en su método de infección: aprovecha el intercambio de archivos de proyecto entre desarrolladores, lo que facilita su rápida propagación.
Novedades de la última variante de XCSSET
- Foco en Firefox: Ahora roba contraseñas, historial y cookies de este navegador.
- Secuestro del portapapeles: Sustituye direcciones de wallets de criptomonedas por las del atacante. ¡Mucho cuidado al copiar y pegar!
- Persistencia mejorada: Utiliza LaunchDaemons para asegurar su ejecución continua en el sistema.
- Cifrado avanzado: Dificulta el análisis y la detección del malware.
Análisis técnico
La nueva variante de XCSSET sigue una cadena de infección de cuatro etapas. Tras las tres primeras etapas, similares a versiones anteriores, la cuarta etapa es donde se ejecutan los nuevos módulos y se descargan componentes adicionales.
Robo de información (Info-stealer)
Este módulo descarga y ejecuta un AppleScript compilado llamado bnk, que se encarga de obtener datos del servidor de control y comando (C2). Utiliza una clave de cifrado predefinida para descifrar la información recibida.
El script bnk monitoriza el portapapeles, comprobando si coincide con patrones de direcciones de wallets. Si encuentra una coincidencia, sustituye el contenido del portapapeles por una dirección controlada por el atacante y envía la información al servidor C2.
Robo de archivos (File-stealer)
Este módulo descarga otro script del servidor C2 y lo ejecuta, similar al módulo txzx_vostfdi, que roba datos de wallets digitales almacenados en navegadores. Aunque en el análisis no se proporcionó una lista de carpetas, es capaz de exfiltrar archivos al servidor C2.
Persistencia mediante LaunchDaemons
Este módulo crea una entrada LaunchDaemon para asegurar la persistencia del malware. Crea un archivo .root en el directorio del usuario y modifica configuraciones del sistema para deshabilitar actualizaciones automáticas de macOS y mecanismos de respuesta rápida de seguridad (RSR).
Además, crea una aplicación falsa llamada System Settings.app en el directorio /tmp, que ejecuta un script descargado del servidor C2. Este script crea un archivo plist (archivo de configuración) que se ejecuta al iniciar el sistema, asegurando que el malware se inicie automáticamente.
Persistencia basada en Git
Esta variante mejora la ofuscación del código al encapsular la lógica de descifrado dentro de una función shell, lo que dificulta aún más su detección.
Robo de información de Firefox
Este nuevo módulo descarga un binario Mach-O FAT, una versión modificada del proyecto HackBrowserData de GitHub. Este binario es capaz de descifrar y exportar datos de Firefox, incluyendo contraseñas, historial, información de tarjetas de crédito y cookies.
Una vez extraídos los datos, los comprime en un archivo ZIP y los envía al servidor C2.
Cómo protegerte de XCSSET: Medidas de mitigación
La prevención es clave para evitar ser víctima de XCSSET. Aquí tienes algunas recomendaciones:
- Mantén tu sistema actualizado: Instala las últimas versiones de macOS y todas las actualizaciones de seguridad.
- Verifica los proyectos de Xcode: Examina cuidadosamente los proyectos descargados de repositorios antes de abrirlos.
- Precaución al copiar y pegar: Verifica siempre que el contenido pegado coincida con la fuente original.
Conclusión
XCSSET continúa evolucionando y adaptándose para evadir la detección. Mantenerse informado y aplicar las medidas de seguridad recomendadas es fundamental para proteger tus sistemas macOS de esta peligrosa amenaza.