- Nova variante do XCSSET com ofuscação avançada e persistência múltipla (zshrc, Dock e LaunchDaemon).
- Expande o roubo de dados para o Firefox e adiciona clipper para desviar transações de criptomoedas do prancheta.
- Infecção de projetos Xcode compartilhados: AppleScripts somente para execução, módulos renomeados e exfiltração de C2.
- Recomendações: atualize o macOS, audite os projetos antes de compilá-los e monitore o osascript/dockutil.
A família de malwares O XCSSET para macOS retornou com uma variante melhorada, e não é pouca coisa: O Microsoft Threat Intelligence identificou mudanças significativas em técnicas de ofuscação, persistência e roubo de dados. que elevam o nível desse velho conhecido. Se você trabalha com Xcode ou compartilha projetos entre equipes, vai querer ficar por dentro do que está acontecendo.
Desde sua descoberta em 2020, o XCSSET vem se adaptando às mudanças no ecossistema da Apple. O que está sendo observado agora é a primeira nova variante documentada publicamente desde 2022., detectado em ataques limitados, mas com capacidades expandidas. Trata-se de um malware modular que se infiltra em projetos Xcode para executar sua carga útil quando são compilados e, nesta iteração, incorpora táticas mais astutas para se camuflar e persistir.
O que é XCSSET e por que ele se espalha tão bem?
Em essência, XCSSET é um conjunto de módulos maliciosos projetados para infectar projetos Xcode e ativar suas funções durante a compilaçãoO vetor de propagação mais plausível é o compartilhamento de arquivos de projeto entre desenvolvedores colaboradores. Aplicativos para macOS, o que multiplica as oportunidades de execução em cada compilação.
Historicamente, esse malware tem sido capaz de explorar vulnerabilidades de dia zero, injetar código em projetos e até mesmo introduzir backdoors em componentes do ecossistema da Apple, como o SafariAo longo de sua evolução, ele também adicionou compatibilidade com versões mais recentes das arquiteturas macOS e Apple Silicon (M1), demonstrando uma adaptabilidade notável.
No terreno, o XCSSET funciona como ladrão de informações e criptomoedas: é capaz de coletar dados de programas populares (Evernote, Notes, Skype, Telegram, QQ, WeChat e mais), exfiltrar arquivos de sistema e aplicativos e atingir especificamente carteiras digitais. Além disso, algumas variantes demonstraram Capturas de tela não autorizadas, criptografia de arquivos e implantação de notas de resgate.
O que há de novo na última variante
A Microsoft detalhou que a variante mais recente incorpora Novos métodos de ofuscação, persistência e estratégias de infecção. Não estamos mais falando apenas sobre troca de nomes ou compactação de código: agora há mais aleatoriedade na maneira como ele gera suas cargas úteis para contaminar projetos do Xcode.
Uma mudança marcante é o uso combinado de técnicas de codificação. Enquanto as iterações anteriores dependiam exclusivamente de xxd (hexdump), A nova versão adiciona Base64 e aplica um número aleatório de iterações, tornando mais difícil identificar e desembaraçar a carga.
Os nomes internos dos módulos também estão mais ocultos do que nunca: Eles são ofuscados no nível do código para esconder seu propósitoIsso complica a análise estática e a correlação entre funções e efeitos observáveis no sistema.
Persistência: métodos “zshrc” e “dock”
Uma das características deste retorno do XCSSET são dois caminhos muito diferentes para permanecer vivo após a infecção. O método “zshrc” aproveita a configuração do shell para execução automática em cada sessão, e o método “dock” manipula atalhos do sistema para executar a carga maliciosa de forma transparente ao usuário.
Na abordagem “zshrc”, o malware cria um arquivo chamado ~/.zshrc_aliases com a carga útil e, em seguida, adiciona um comando a ~/.zshrc que garante que o arquivo seja carregado sempre que uma nova sessão for aberta. Isso garante persistência em todos os terminais sem levantar suspeitas óbvias.
O plano “dock” envolve o download de uma ferramenta assinada do servidor de comando e controle, dockutil, para gerenciar elementos do Dock. Em seguida, ele cria um aplicativo Launchpad falso e substitui o caminho para o Launchpad legítimo no Dock por esse aplicativo falso. Resultado: toda vez que o usuário inicia o Launchpad a partir do Dock, o aplicativo real é aberto e, em paralelo, a carga maliciosa é ativada.
Como reforço, a variante introduz Novos critérios para decidir onde inserir a carga útil no projeto XcodeIsso otimiza o impacto e minimiza as chances do desenvolvedor detectar algo incomum ao revisar a árvore do projeto.
AppleScript, execução furtiva e cadeia de infecção
A pesquisa da Microsoft descreve que o XCSSET usa AppleScripts compilados em modo somente execução para executar silenciosamente e impedir que a análise direta revele seu conteúdo. Essa técnica se encaixa em seu objetivo de invisibilidade e de escapar de ferramentas de inspeção de script.
Na quarta fase da cadeia de infecção, observa-se que Um aplicativo AppleScript executa um comando shell para baixar o estágio finalEste AppleScript final reúne informações do sistema comprometido e inicializa submódulos invocando a função boot(), que orquestra a implantação modular de recursos.
Mudanças lógicas também foram detectadas: Verificações adicionais para o navegador Firefox e um método diferente para confirmar a presença do aplicativo de mensagens Telegram. Esses não são detalhes menores; eles indicam uma clara intenção de tornar a coleta de dados mais confiável e expandir seu escopo.
Módulos renomeados e novas peças
A cada revisão, a família XCSSET alterava ligeiramente os nomes de seus módulos, um clássico jogo de gato e rato para dificultar o rastreamento de versões e assinaturas. Mesmo assim, sua funcionalidade geralmente permanece consistente.
Entre os módulos destacados desta variante aparecem identificadores como vexyeqj (anteriormente seizecj), que baixe outro módulo chamado bnk e executa-o usando osascript. Isto escrita adiciona validação de dados, criptografia, descriptografia, busca de conteúdo adicional do C2 e recursos de registro de eventos, além de incluir o componente “clipper”.
Também é mencionado neq_cdyd_ilvcmwx, semelhante ao txzx_vostfdi, que é responsável por exfiltrar arquivos para o servidor de comando e controle; o módulo xmyyeqjx que prepara o Persistência baseada em LaunchDaemon; jey (anteriormente jez) que configura um persistência via GitE iewmilh_cdyd, responsável por roubar dados do Firefox usando uma versão modificada da ferramenta pública HackBrowserData.
- vexyeqj: módulo de informação; baixar e usar bnk, integra clipper e criptografia.
- neq_cdyd_ilvcmwx: exfiltração de arquivos para C2.
- xmyyeqjx: persistência por LaunchDaemon.
- jey: persistência através do Git.
- iewmilh_cdyd: Roubo de dados do Firefox com HackBrowserData modificado.
O foco no Firefox é especialmente relevante porque expande o alcance além do Chromium e do SafariIsso significa que o número de vítimas em potencial está aumentando, e as técnicas de extração de credenciais e cookies estão sendo refinadas para vários mecanismos de navegador.
Roubo de criptomoedas usando sequestro de área de transferência
Uma das capacidades de maior preocupação nesta evolução é o módulo “clipper”. Monitora a área de transferência em busca de expressões regulares que correspondam a endereços de criptomoedas (vários formatos de carteira). Assim que detecta uma correspondência, ele imediatamente substitui o endereço por um controlado pelo invasor.
Este ataque não requer privilégios elevados para causar estragos: A vítima copia seu endereço de sua carteira, cola para enviar fundos e, sem saber, transfere para o invasorComo a equipe da Microsoft apontou, isso corrói a confiança em algo tão básico quanto copiar e colar.
A combinação de roubo de dados do clipper e do navegador torna o XCSSET um Uma ameaça prática aos cibercriminosos focados em criptoativosEles podem obter cookies de sessão, senhas salvas e até mesmo redirecionar transações sem afetar o saldo visível da vítima até que seja tarde demais.
Outras táticas de persistência e camuflagem
Além de “zshrc” e “dock”, a Microsoft descreve que esta variante adiciona Entradas do LaunchDaemon que executam uma carga útil em ~/.rootEsse mecanismo garante uma inicialização rápida e estável e se camufla no emaranhado de serviços do sistema carregados em segundo plano.
Também foi observada a criação de um Configurações do sistema falsificadas.app em /tmp, que permite que malware disfarce sua atividade sob o disfarce de um aplicativo de sistema legítimo. Esse tipo de personificação ajuda a evitar suspeitas ao inspecionar processos ou caminhos durante a execução aleatória.
Paralelamente, o trabalho de ofuscação do XCSSET está de volta aos holofotes: Criptografia mais sofisticada, nomes de módulos aleatórios e AppleScripts somente para execuçãoTudo indica que a vida útil da campanha será estendida antes que ela seja neutralizada por assinaturas e regras de detecção.
Capacidades históricas: além do navegador
Olhando para trás, o XCSSET não se limitou apenas a esvaziar navegadores. Sua capacidade de extrair dados de aplicativos como Google Chrome, Ópera, Telegram, Evernote, Skype, WeChat e aplicativos próprios da Apple, como Contatos e NotasOu seja, uma gama de fontes que inclui mensagens, produtividade e dados pessoais.
Em 2021, relatórios como o de Jamf descreveram como o XCSSET explorou CVE-2021-30713, um desvio da estrutura TCC, para tomar capturas de tela da área de trabalho sem pedir permissão. Essa habilidade se encaixa em um objetivo claro: espionar e coletar material sensível com atrito mínimo para o usuário.
Com o tempo, o malware foi ajustado para Compatibilidade com macOS Monterey e com os chips M1, algo que ressalta sua continuidade e manutenção pelos atacantesAté hoje, a origem exata da operação permanece obscura.
Como ele se infiltra em projetos Xcode
A distribuição do XCSSET não é detalhada ao milímetro, mas tudo indica que Aproveite o compartilhamento de projetos do Xcode entre desenvolvedoresSe um repositório ou pacote já estiver comprometido, qualquer compilação subsequente ativará o código malicioso.
Este padrão transforma as equipes de desenvolvimento em vetores de propagação privilegiados, especialmente em ambientes com práticas frouxas de verificação de dependências, scripts de construção ou modelos compartilhados. É um lembrete de que cadeia de suprimentos de software tornou-se um alvo recorrente.
Dado este cenário, faz sentido que a nova variante reforce a lógica para decidir onde inserir cargas úteis dentro do projetoQuanto mais “natural” sua localização parecer, menor a probabilidade de um desenvolvedor identificá-la em uma varredura rápida.
Ergonomia de ataque: erros, etapas e sinais
A Microsoft já havia anunciado melhorias no XCSSET no início deste ano. gerenciamento de erros e persistência. O importante é que agora ele se encaixa em uma cadeia de infecção passo a passo: um AppleScript que inicia um comando shell, que baixa outro AppleScript final, que por sua vez reúne informações do sistema e inicia submódulos.
Se você está procurando por sinais, a presença de ~/.zshrc_aliases, manipulações em ~/.zshrc, entradas suspeitas em LaunchDaemons ou um System Settings.app estranho em /tmp Esses são indicadores a serem observados. Qualquer atividade anômala no Dock (por exemplo, caminhos do Launchpad substituídos) também deve disparar alarmes.
Em ambientes gerenciados, os SOCs devem calibrar regras que busquem Osascript incomum, chamadas repetidas para dockutil e artefatos codificados ou criptografados em Base64 vinculado aos processos de construção do Xcode e usar ferramentas para visualizar processos em execução no macOSO contexto da compilação é fundamental para reduzir falsos positivos.
Quem é o público-alvo do XCSSET?
O foco natural são aqueles que desenvolvem ou compilam com o Xcode, mas o impacto pode se estender aos usuários que instalar aplicativos integrados de projetos contaminados. A parte financeira aparece no sequestro de área de transferência, especialmente relevante para aqueles que lidam com criptomoedas regularmente.
Na esfera dos dados, o exfiltração do Firefox e outros aplicativos coloca credenciais, cookies de sessão e notas pessoais em risco. Adicione a isso os recursos legados de capturas de tela, criptografia de arquivos e notas de resgate, o quadro está mais que completo.
Os ataques detectados até agora parecem escopo limitado, mas, como costuma acontecer, a verdadeira escala da campanha pode levar algum tempo para emergir. A modularidade facilita iterações rápidas, mudanças de nome e ajuste fino para evitar detecção.
Recomendações práticas para reduzir riscos
Primeiro, atualize a disciplina: Mantenha o macOS e os aplicativos atualizados e considere soluções antimalware. O XCSSET já explorou vulnerabilidades, incluindo vulnerabilidades de dia zero, portanto, atualizar para a versão mais recente reduz significativamente a superfície de ataque.
Em segundo lugar, inspecionar projetos Xcode que você baixa ou clona de repositórios e seja extremamente cauteloso com o que compila. Revise os scripts de compilação, Executar fases do script, dependências e quaisquer arquivos que são executados no processo de compilação.
Terceiro, tenha cuidado com a área de transferência. Evite copiar/colar endereços de carteira não verificados: Verifique novamente o primeiro e o último caracteres antes de confirmar transações. É um pequeno gesto que pode lhe poupar muitos problemas.
Quarto, telemetria e caça. Monitora osascript, dockutil, alterações em ~/.zshrc e LaunchDaemonsSe você gerencia frotas, incorpore regras de EDR que detectam AppleScripts compilados incomuns ou uploads codificados repetitivos em processos de compilação.
Escritor apaixonado pelo mundo dos bytes e da tecnologia em geral. Adoro compartilhar meu conhecimento por meio da escrita, e é isso que farei neste blog, mostrar a vocês tudo o que há de mais interessante sobre gadgets, software, hardware, tendências tecnológicas e muito mais. Meu objetivo é ajudá-lo a navegar no mundo digital de uma forma simples e divertida.