Microsoft ha recentemente identificato una nuova variante del malware XCSSET, destinato ai sistemi macOS di Apple, che è emersa in attacchi mirati. Questo malware è noto per le sue tecniche di offuscamento avanzate, meccanismi di persistenza aggiornati e nuove strategie di infezione. La variante più recente, la prima nota dal 2022, include miglioramenti significativi che ampliano le capacità già note di questa famiglia di malware. Queste capacità comprendono il targeting di portafogli digitali, la raccolta di dati dall'app Note e l'esfiltrazione di informazioni e file di sistema.

XCSSET: Un Malware Sofisticato

XCSSET è un malware modulare sofisticato, noto per colpire gli utenti infettando i progetti di Apple Xcode. È stato documentato per la prima volta da Trend Micro nell'agosto 2020. Le iterazioni successive del malware si sono adattate per compromettere versioni di macOS più recenti e i chipset M1 di Apple. Nel 2021, il malware è stato aggiornato per esfiltrare dati da diverse app come Google Chrome, Telegram, Evernote, Opera, Skype, WeChat, e app di Apple come Contatti e Note.

Utilizzo di Vulnerabilità e Aggiornamenti Recenti

Un altro rapporto di Jamf, nello stesso periodo, ha svelato la capacità del malware di sfruttare CVE-2021-30713, un bug che consente di bypassare il framework Transparency, Consent, and Control (TCC) per scattare screenshot del desktop della vittima senza richiedere ulteriori autorizzazioni. Dopo oltre un anno, è stato nuovamente aggiornato per supportare macOS Monterey, ma le origini del malware rimangono sconosciute.

Revisione Importante e Persistenza

L'ultimo aggiornamento scoperto da Microsoft rappresenta una revisione importante, con l'uso di metodi di offuscamento migliorati e meccanismi di persistenza che mirano a sfidare gli sforzi di analisi e garantire che il malware venga lanciato ogni volta che viene avviata una nuova sessione di shell. Un'ulteriore novità nel modo in cui XCSSET stabilisce la persistenza include il download di un'utilità firmata dockutil da un server di comando e controllo per gestire gli elementi del dock. Il malware crea quindi un'applicazione falsa di Launchpad e sostituisce il percorso dell'icona legittima nel dock con questa falsa, assicurando che ogni volta che viene avviato da lì, vengano eseguiti sia il Launchpad legittimo che il payload dannoso.