Em março, 2021, Os pesquisadores do Sentinel Labs tomaram conhecimento de um Projeto Xcode trojanizado para desenvolvedores iOS. O projeto era uma versão maliciosa de um legítimo, projeto de código aberto disponível no GitHub, permitindo que programadores de iOS usem vários recursos avançados para animar a barra de guias do iOS.
Malware XCSSET equipado com novos recursos perigosos
Agora, uma campanha semelhante está mais uma vez voltada para os desenvolvedores Xcode, desta vez equipado com Macs rodando os novos chips M1 da Apple. O malware também é capaz de roubar informações confidenciais de aplicativos de criptomoeda.
O malware XCSSET foi descoberto pela primeira vez em agosto, 2020, quando estava se espalhando por meio de projetos Xcode IDE alterados. O malware geralmente age reempacotando módulos de carga útil para aparecer como aplicativos Mac legítimos, que acabam infectando projetos Xcode locais. Os módulos do malware incluem roubo de credencial, captura de tela, injetar JavaScript malicioso em sites, roubando dados do app, e em alguns casos, até mesmo recursos de ransomware.
Variantes mais recentes de XCSSET são compiladas para chips Apple M1, Pesquisa Kaspersky revelada no mês passado. Este é um sinal claro de que os operadores de malware estão adaptando seu malware para se adequar às tecnologias mais recentes da Apple.
Quanto às variantes de malware mais recentes, A Trend Micro diz que o XCSSET continua a explorar o navegador Safari para infectar sites com backdoors JavaScript no Universal Cross-site Scripting (UXSS) ataques. De acordo com o último relatório da Trend Micro:
[...] este malware aproveita a versão de desenvolvimento do Safari para carregar estruturas maliciosas do Safari e backdoors JavaScript relacionados de seu C&servidor C. Ele hospeda os pacotes de atualização do Safari no C&servidor C, em seguida, baixa e instala pacotes para a versão do sistema operacional do usuário. Para se adaptar ao recém-lançado Big Sur, novos pacotes para “Safari 14” foram adicionados.
Outras melhorias incluem a capacidade do malware de atingir as versões mais recentes do macOS:
Os módulos mais recentes do malware, como o novo módulo icons.php introduz mudanças nos ícones para caber no sistema operacional da vítima. Por exemplo, um ícone falso do Finder para versões do macOS 10.15 e inferior tem um arquivo de ícone baixado chamado Finder.icns com cantos quadrados, enquanto o macOS 11.1 tem um arquivo de ícone baixado chamado FinderBigSur.icns e tem um ícone com cantos arredondados para imitar os usados em Big Sur.
Em outras palavras, o malware também pode criar aplicativos de imitação para Big Sur, criado a partir de arquivos AppleScript maliciosos, em que os arquivos de ícone são baixados de um servidor de comando e controle. O malware então modifica seus arquivos info.plist “para que o ícone do aplicativo falso seja convincentemente disfarçado como o do aplicativo legítimo que está tentando imitar,” Trend Micro diz.
Como o XCSSET se espalha por meio de projetos Xcode personalizados, os desenvolvedores estão continuamente sob risco de infecção, compartilhando seus projetos no GitHub e infectando ainda mais outros desenvolvedores desavisados. Isso pode criar a possibilidade de um ataque do tipo cadeia de suprimentos para desenvolvedores que usam os repositórios infectados como dependências em seus projetos.