Nueva variante XCSSET de macOS se dirige a Firefox

AXCESS · Septiembre 26, 2025, 04:13:17 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han descubierto una versión actualizada de un conocido malware para macOS de Apple llamado XCSSET, que se ha observado en ataques limitados.

"Esta nueva variante de XCSSET introduce cambios clave relacionados con la segmentación del navegador, el secuestro del portapapeles y los mecanismos de persistencia", declaró el equipo de Inteligencia de Amenazas de Microsoft en un informe publicado el jueves.

"Emplea sofisticadas técnicas de cifrado y ofuscación, utiliza AppleScripts compilados de solo ejecución para una ejecución sigilosa y amplía sus capacidades de exfiltración de datos para incluir los datos del navegador Firefox. También añade otro mecanismo de persistencia mediante entradas de LaunchDaemon".

XCSSET es el nombre asignado a un sofisticado malware modular diseñado para infectar proyectos de Xcode utilizados por desarrolladores de software y liberar sus capacidades maliciosas durante su desarrollo. Se desconoce cómo se distribuye exactamente el malware, pero se sospecha que su propagación se basa en el intercambio de archivos de proyectos de Xcode entre desarrolladores que crean aplicaciones para macOS.

A principios de marzo, Microsoft descubrió varias mejoras en el malware, destacando su manejo mejorado de errores y el uso de tres técnicas de persistencia diferentes para extraer datos confidenciales de los hosts comprometidos.

Se ha descubierto que la última variante de XCSSET incorpora un submódulo recortador que monitoriza el contenido del portapapeles en busca de patrones específicos de expresiones regulares (también conocidas como regex) que coincidan con varias billeteras de criptomonedas. En caso de coincidencia, el malware sustituye la dirección de la billetera en el portapapeles por una controlada por el atacante para redirigir las transacciones.

El desarrollador de Windows también señaló que la nueva iteración introduce cambios en la cuarta etapa de la cadena de infección, en particular cuando se utiliza una aplicación AppleScript para ejecutar un comando de shell y obtener el AppleScript de la etapa final, responsable de recopilar información del sistema y ejecutar varios submódulos mediante la función boot().

Cabe destacar que las modificaciones incluyen comprobaciones adicionales para el navegador Mozilla Firefox y una lógica modificada para determinar la presencia de la aplicación de mensajería Telegram. También se observan cambios en los diversos módulos, así como nuevos módulos que no existían en versiones anteriores:

vexyeqj, el módulo de información anteriormente llamado seizecj, que descarga un módulo llamado bnk que se ejecuta con osascript. El script define funciones para la validación de datos, el cifrado, el descifrado, la obtención de datos adicionales del servidor de comando y control (C2) y el registro.

También incluye la funcionalidad de clipper.

neq_cdyd_ilvcmwx, un módulo similar a txzx_vostfdi que exfiltra archivos al servidor C2

xmyyeqjx, un módulo para configurar la persistencia basada en LaunchDaemon

jey, un módulo para configurar la persistencia basada en Git

iewmilh_cdyd, un módulo para robar datos de Firefox mediante una versión modificada de una herramienta pública llamada HackBrowserData.

Para mitigar la amenaza que representa XCSSET, se recomienda a los usuarios mantener su sistema actualizado, inspeccionar los proyectos de Xcode descargados o clonados de repositorios u otras fuentes, y tener cuidado al copiar y pegar datos confidenciales del portapapeles.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Nueva variante XCSSET de macOS se dirige a Firefox

AXCESS

Septiembre 26, 2025, 04:13:17 PM