A marzo, 2021, I ricercatori di Sentinel Labs sono venuti a conoscenza di un file progetto Xcode con trojan rivolto agli sviluppatori iOS. Il progetto era una versione dannosa di un file legittimo, progetto open-source disponibile su GitHub, consentendo ai programmatori iOS di utilizzare diverse funzionalità avanzate per animare la barra delle schede iOS.
Malware XCSSET dotato di nuove funzionalità pericolose
Ora, una campagna simile si rivolge ancora una volta agli sviluppatori Xcode, questa volta equipaggiato con Mac con i nuovi chip M1 di Apple. Il malware è anche in grado di rubare informazioni sensibili dalle applicazioni di criptovaluta.
Il malware XCSSET è stato scoperto per la prima volta in agosto, 2020, quando si stava diffondendo tramite progetti IDE Xcode modificati. Il malware di solito agisce riconfezionando i moduli di payload in modo che appaiano come app Mac legittime, che finiscono per infettare i progetti Xcode locali. I moduli del malware includono il furto di credenziali, cattura di screenshot, iniettando JavaScript dannoso nei siti web, rubare i dati delle app, e in alcuni casi, anche capacità di ransomware.
Le varianti XCSSET più recenti sono state compilate per i chip Apple M1, La ricerca di Kaspersky ha rivelato il mese scorso. Questo è un chiaro segno che gli operatori di malware stanno adattando il loro malware alle ultime tecnologie Apple.
Per quanto riguarda le ultime varianti di malware, Trend Micro afferma che XCSSET continua a sfruttare il browser Safari per infettare siti Web con backdoor JavaScript in Universal Cross-site Scripting (UXSS) attacchi. Secondo l'ultimo rapporto di Trend Micro:
[...] questo malware sfrutta la versione di sviluppo di Safari per caricare framework Safari dannosi e backdoor JavaScript correlate dal suo C&Server di C. Ospita i pacchetti di aggiornamento di Safari in C&Server di C, quindi scarica e installa i pacchetti per la versione del sistema operativo dell'utente. Per adattarsi al Big Sur appena uscito, sono stati aggiunti nuovi pacchetti per "Safari 14".
Altri miglioramenti includono la capacità del malware di indirizzare le ultime versioni di macOS:
Gli ultimi moduli del malware, come il nuovo modulo icons.php introduce modifiche alle icone per adattarle al sistema operativo della vittima. Per esempio, un'icona falsa del Finder per le versioni di macOS 10.15 e inferiore ha un file di icona scaricato denominato Finder.icns con angoli squadrati, mentre macOS 11.1 ha un file icona scaricato denominato FinderBigSur.icns e ha un'icona con angoli arrotondati per imitare quelli usati in Big Sur.
In altre parole, il malware può anche creare app di imitazione per Big Sur, creato da file AppleScript dannosi, in cui i file di icone vengono scaricati da un server di comando e controllo. Il malware quindi modifica i propri file info.plist "in modo che l'icona dell'app falsa sia mascherata in modo convincente da quella dell'app legittima che sta cercando di imitare," Trend Micro dice.
Poiché XCSSET si diffonde tramite progetti Xcode personalizzati, gli sviluppatori sono continuamente a rischio di infezione condividendo i loro progetti su GitHub e infettando ulteriormente altri sviluppatori ignari. Ciò potrebbe creare la possibilità di un attacco simile alla catena di approvvigionamento per gli sviluppatori che utilizzano i repository infetti come dipendenze nei loro progetti.