Variante de malware macOS actualizada descubierta por Microsoft
Microsoft ha observado un malware macOS previamente inactivo que se ha vuelto activo una vez más en una nueva variante dirigida a dispositivos Apple de todo tipo.
Microsoft Threat Intelligence compartió información sobre el malware en una publicación en X, indicando que es una nueva versión de XCSSET que se originó en 2022. Los expertos en seguridad explicaron que el malware actualizado tiene “métodos de ofuscación mejorados, mecanismos de persistencia actualizados y nuevas estrategias de infección”.
Microsoft Threat Intelligence ha descubierto una nueva variante de XCSSET, un sofisticado malware modular para macOS que se dirige a los usuarios infectando proyectos Xcode en estado salvaje. Si bien en este momento solo vemos esta nueva variante XCSSET en ataques limitados, compartimos esta información… pic.twitter.com/oWfsIKxBzB
– Inteligencia de amenazas de Microsoft (@MsftSecIntel) 17 de febrero de 2025
TechRadar señaló que el malware XCSSET es esencialmente un ladrón de información, con la capacidad de atacar billeteras digitales, recopilar datos de la aplicación Apple Notes y recopilar información y archivos del sistema.
El malware es particularmente peligroso porque utiliza proyectos infectados en la plataforma Xcode de Apple para infiltrarse en los dispositivos. Xcode es el entorno de desarrollo integrado (IDE) oficial que Apple proporciona para la creación de aplicaciones para sus diversos sistemas operativos, incluidos macOS, iOS, iPadOS, watchOS y tvOS. El entorno incluye un editor de código, un depurador, un Interface Builder y herramientas para probar e implementar aplicaciones, agrega la publicación.
Como se dijo, la variante XCSSET actualizada incluye procesos que permiten que el malware se oculte mejor dentro de Xcode. Para ello utiliza dos técnicas, llamadas “zshrc” y “dock”. El primer ataque permite que el malware cree un archivo, ~/.zshrc_aliases, que contiene los datos infectados. Luego agrega un comando en el archivo ~/.zshrc, que solicitará que el archivo infectado se inicie cada vez que se inicie una nueva sesión de shell. Esto garantizará que el malware continúe propagándose con sesiones de shell adicionales.
Con el segundo ataque, el malware descarga "una herramienta Dockutil firmada desde un servidor de comando y control para administrar los elementos del Dock", explicó Microsoft. Después de esto, crea una aplicación Launchpad falsa para reemplazar la entrada de ruta de la aplicación Launchpad real en la base del dispositivo. Cuando un usuario ejecuta Launchpad en un dispositivo infectado, se ejecutarán la aplicación Launchpad real y la versión de malware, propagando efectivamente XCSSET.
Microsoft Threat Intelligence explicó que solo ha visto la nueva variante de malware "en ataques limitados" y está compartiendo información sobre la amenaza para que los usuarios y las organizaciones puedan tomar medidas de precaución.