Variante atualizada de malware do macOS descoberta pela Microsoft
A Microsoft observou um malware macOS anteriormente inativo que se tornou ativo mais uma vez em uma nova variante que tem como alvo dispositivos Apple de todos os tipos.
O Microsoft Threat Intelligence compartilhou informações sobre o malware em uma postagem no X, indicando que se trata de uma nova versão do XCSSET originada em 2022. Os especialistas em segurança explicaram que o malware atualizado tem “métodos de ofuscação aprimorados, mecanismos de persistência atualizados e novas estratégias de infecção”.
A Microsoft Threat Intelligence descobriu uma nova variante do XCSSET, um sofisticado malware modular para macOS que tem como alvo os usuários infectando projetos Xcode, em estado selvagem. Embora estejamos vendo esta nova variante XCSSET apenas em ataques limitados no momento, estamos compartilhando esta informação… pic.twitter.com/oWfsIKxBzB
— Inteligência de ameaças da Microsoft (@MsftSecIntel) 17 de fevereiro de 2025
TechRadar observou que o malware XCSSET é essencialmente um infostealer, com a capacidade de atacar carteiras digitais, coletar dados do aplicativo Apple Notes e coletar informações e arquivos do sistema.
O malware é particularmente perigoso porque usa projetos infectados na plataforma Xcode da Apple para se infiltrar em dispositivos. Xcode é o ambiente de desenvolvimento integrado (IDE) oficial que a Apple fornece para a criação de aplicativos para seus vários sistemas operacionais, incluindo macOS, iOS, iPadOS, watchOS e tvOS. O ambiente inclui um editor de código, depurador, Interface Builder e ferramentas para testar e implantar aplicativos, acrescentou a publicação.
Como dito, a variante XCSSET atualizada inclui processos, permitindo que o malware se esconda melhor no Xcode. Para isso, utiliza duas técnicas, chamadas “zshrc” e “dock”. O primeiro ataque permite que o malware crie um arquivo, ~/.zshrc_aliases, que contém os dados infectados. Em seguida, ele adiciona um comando no arquivo ~/.zshrc, que solicitará que o arquivo infectado seja iniciado sempre que uma nova sessão do shell for iniciada. Isso garantirá que o malware continue a se espalhar com sessões adicionais de shell.
Com o segundo ataque, o malware baixa “uma ferramenta dockutil assinada de um servidor de comando e controle para gerenciar os itens do dock”, explicou a Microsoft. Depois disso, ele cria um aplicativo Launchpad falso para substituir a entrada do caminho do aplicativo Launchpad real no dock do dispositivo. Quando um usuário executa o Launchpad em um dispositivo infectado, o aplicativo Launchpad real e a versão do malware serão executados, espalhando efetivamente o XCSSET.
A Microsoft Threat Intelligence explicou que só viu a nova variante de malware “em ataques limitados” e está compartilhando informações sobre a ameaça para que usuários e organizações possam tomar medidas de precaução.
