Por Mid 
XCSSET se transforma: una nueva variante de malware para macOS enfoca a proyectos de Xcode y sustrae criptomonedas
Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Alta
Conclusiones clave
- El nuevo XCSSET se dirige específicamente a desarrolladores de macOS, utilizando proyectos de Xcode para propagarse.
- Incorpora técnicas avanzadas para el robo de datos y criptomonedas, incluyendo el secuestro de portapapeles.
- La creación de entradas LaunchDaemon y apps falsas aumentan la persistencia del malware en el sistema.
- El riesgo de infección afecta no solo a individuos, sino también a empresas completas debido a la colaboración en proyectos de desarrollo.
- Es crucial implementar medidas preventivas y mantenerse actualizado para mitigar la amenaza de XCSSET.
Índice
- Introducción
- Novedades de XCSSET
- Métodos de propagación
- Impacto en la seguridad
- Recomendaciones para desarrolladores
- Conclusión
- Referencias
Introducción
Microsoft ha anunciado la aparición de una nueva variante del malware XCSSET, específicamente diseñada para usuarios de macOS que utilizan Xcode en su desarrollo. Esta actualización incluye funciones avanzadas, tales como el robo de información de navegadores, el secuestro del portapapeles y métodos innovadores de persistencia enfocados en entornos de desarrollo.
Novedades de XCSSET
La serie de malware XCSSET, reconocida por su ataque a sistemas macOS a través de proyectos infectados de Xcode, vuelve a ser relevante tras el último informe de Microsoft Threat Intelligence. El enfoque de esta variante va dirigido a desarrolladores, aprovechando la costumbre común de compartir proyectos de desarrollo entre ellos.
El nuevo XCSSET ha ampliado sus capacidades. Ahora emplea una modificación de la herramienta open-source HackBrowserData, destinada a extraer contraseñas y sesiones de Firefox. Además, implementa técnicas para el hurto de criptomonedas mediante la vigilancia del portapapeles, utilizando patrones RegEx para identificar y suplantar direcciones de carteras. Para aumentar su permanencia, crea entradas LaunchDaemon y una aplicación falsa llamada ‘System Settings.app’, ocultando así su actividad maliciosa.
Métodos de propagación
El principal método de propagación del malware continúa siendo la infección de proyectos de Xcode. Una vez compilado el proyecto, el código malicioso se replica y puede infectar a otros desarrolladores a través de colaboraciones o repositorios compartidos.
Impacto en la seguridad
Las repercusiones de este malware son severas, incluyendo la exfiltración de credenciales, el robo de notas personales y la sustracción de carteras de criptomonedas, así como de información sensible que se encuentre en los navegadores. La capacidad de infiltrarse a través de proyectos colaborativos eleva considerablemente el riesgo que enfrentan los entornos de desarrollo, pudiendo impactar en empresas y en la cadena de suministro de software. Además, la complejidad de los nuevos métodos de persistencia complica tanto su detección inicial como su eliminación.
Recomendaciones para desarrolladores
Para reducir estas amenazas, se aconseja a los desarrolladores examinar cuidadosamente cualquier proyecto de Xcode recibido antes de proceder a su compilación. Es crucial mantener tanto macOS como las aplicaciones actualizadas, ya que XCSSET ha aprovechado vulnerabilidades zero-day en ocasiones anteriores. Asimismo, el uso de una solución EDR para macOS y una revisión continua de procesos y aplicaciones sospechosas pueden contribuir a identificar actividades inusuales. No menos importante es realizar copias de seguridad regularmente y evitar la reutilización de credenciales entre distintos servicios.
Conclusión
El regreso de XCSSET subraya la persistencia de amenazas dirigidas hacia el ecosistema de Apple, en especial hacia sus desarrolladores. Una defensa proactiva, actualizaciones continuas y prácticas de higiene digital adecuadas son elementos críticos en este entorno. Sin una vigilancia adecuada, un único proyecto infectado puede poner en jaque a toda una organización.