En marzo, 2021, Los investigadores de Sentinel Labs se dieron cuenta de una proyecto Xcode troyanizado dirigido a desarrolladores de iOS. El proyecto era una versión maliciosa de un legítimo, proyecto de código abierto disponible en GitHub, permitiendo a los programadores de iOS utilizar varias funciones avanzadas para animar la barra de pestañas de iOS.
XCSSET Malware equipado con nuevas capacidades peligrosas
Ahora, una campaña similar se dirige una vez más a los desarrolladores de Xcode, esta vez equipado con Macs que ejecutan los nuevos chips M1 de Apple. El malware también es capaz de robar información confidencial de aplicaciones de criptomonedas..
El malware XCSSET fue descubierto por primera vez en agosto, 2020, cuando se propagaba a través de proyectos IDE de Xcode alterados. El malware generalmente actúa reempaquetando los módulos de carga útil para que aparezcan como aplicaciones legítimas de Mac, que terminan infectando proyectos locales de Xcode. Los módulos del malware incluyen el robo de credenciales., captura de pantalla, inyectar JavaScript malicioso en sitios web, robar datos de la aplicación, y en algunos casos, incluso capacidades de ransomware.
Las variantes más nuevas de XCSSET se compilan para chips Apple M1, Investigación de Kaspersky revelada el mes pasado. Esta es una clara señal de que los operadores de malware están adaptando su malware para adaptarse a las últimas tecnologías de Apple..
En cuanto a las últimas variantes de malware, Trend Micro dice que XCSSET continúa explotando el navegador Safari para infectar sitios web con puertas traseras de JavaScript en Universal Cross-site Scripting (UXSS) ataques. Según el último informe de Trend Micro:
[...] este malware aprovecha la versión de desarrollo de Safari para cargar marcos de Safari maliciosos y puertas traseras de JavaScript relacionadas desde su C&Servidor C. Aloja paquetes de actualización de Safari en C&Servidor C, luego descarga e instala paquetes para la versión del sistema operativo del usuario. Para adaptarse al recién estrenado Big Sur, se agregaron nuevos paquetes para "Safari 14".
Otras mejoras incluyen la capacidad del malware para apuntar a las últimas versiones de macOS:
Los últimos módulos del malware, como el nuevo módulo icons.php introduce cambios en los íconos para adaptarse al sistema operativo de la víctima. Por ejemplo, un icono de Finder falso para las versiones de macOS 10.15 y la inferior tiene un archivo de icono descargado llamado Finder.icns con esquinas cuadradas, mientras que macOS 11.1 tiene un archivo de icono descargado llamado FinderBigSur.icns y tiene un icono con esquinas redondeadas para imitar los que se utilizan en Big Sur.
En otras palabras, el malware también puede crear aplicaciones de imitación para Big Sur, creado a partir de archivos AppleScript maliciosos, en el que los archivos de iconos se descargan de un servidor de comando y control. Luego, el malware modifica sus archivos info.plist "para que el icono de la aplicación falsa se disfrace de manera convincente como el de la aplicación legítima que está tratando de imitar," Trend Micro dice.
Dado que XCSSET se propaga a través de proyectos Xcode personalizados, Los desarrolladores están continuamente en riesgo de infección al compartir sus proyectos en GitHub e infectar aún más a otros desarrolladores desprevenidos.. Esto podría crear la posibilidad de un ataque similar a una cadena de suministro para los desarrolladores que utilizan los repositorios infectados como dependencias en sus proyectos..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: