XCSSET, un malware descubierto en 2020 y del que ya oímos hablar por Trend Micro, destacaba por su modo de funcionamiento único: se integraba en proyectos de Xcode e infectaba aplicaciones compiladas en esa Mac. Desde su descubrimiento había desaparecido del radar hasta hoy. Microsoft advierte en su cuenta de X de Microsoft Threat Intelligence, que se ha identificado una nueva variante de XCSSET, con varias actualizaciones que mejoran aún más su eficacia.
El principio básico sigue siendo el mismo: el malware infecta Xcode y luego se propaga a través de las aplicaciones compiladas en el Mac afectado. Sin embargo, el malware puede permanecer mejor en su lugar, tanto integrándose en el corazón de ZSH, el shell predeterminado en macOS desde Catalina , como de una manera única, reemplazando el ícono legítimo del Launchpad en el Dock con un clon que relanza el malware con cada clic.
La nueva variante de XCSSET tiene un perfil bajo en el dispositivo afectado, y cuenta con varias técnicas que complican su identificación.
En 2020, se descubrió que cuando se instalaba dicha versión, la falla permitía modificar cada página web, por ejemplo para inyectar publicidad controlada por malware o, potencialmente más grave, para robar información confidencial al realizar un pago o iniciar sesión en un sitio.
Primeras opiniones de investigadores sobre la nueva variante del malware XCSSET
Jaron Bradley, director de Jamf Threat Labs, explicó que si un desarrollador de Apple utiliza un repositorio infectado con XCSSET, su producto se infectará durante el desarrollo, lo que generará riesgos significativos para la cadena de suministro. El malware también puede propagarse a otros proyectos en el sistema del desarrollador, afirmó Bradley.
Stephen Kowski, director de tecnología de campo en SlashNext Email Security, dijo que este sofisticado ataque tiene como objetivo la cadena de suministro de software en su origen, comprometiendo potencialmente las aplicaciones incluso antes de que se creen, y las técnicas de ofuscación mejoradas del malware y sus múltiples métodos de persistencia lo hacen particularmente difícil de detectar.
“El escaneo de código en tiempo real y las herramientas avanzadas de detección de amenazas que pueden identificar comportamientos sospechosos en entornos de desarrollo son esenciales para la protección contra este tipo de ataques”, afirmó Kowski. “Los desarrolladores deben implementar estrategias de seguridad multicapa que incluyan la monitorización continua de los archivos del proyecto para detectar cambios inesperados y una verificación rigurosa de todas las fuentes de código antes de la integración”.
Phil Stokes, investigador de amenazas de SentinelOne, añadió que esta nueva versión de XCSSET también afecta a los proyectos de GitHub de los desarrolladores y adopta enfoques novedosos de persistencia y sigilo mediante el envenenamiento de los archivos de configuración del shell del usuario y la suplantación y reemplazo de aplicaciones nativas. Stokes explicó que el uso de AppleScript, ejecutado principalmente en memoria, es característico del malware XCSSET y especialmente difícil de detectar para las soluciones antivirus tradicionales, ya que deja muy poco material escrito en el disco.
Cómo revisar nuestro Mac para saber si estoy infectado del malware XCSSET
Microsoft ha tenido cuidado de no detallar cómo comprobar si tu Mac está infectada, y por una buena razón. La alerta también sirve como publicidad para Microsoft Defender for Endpoint para Mac, un antimalware desarrollado localmente que puede solucionar el problema.
Sin embargo, esperamos que Apple tome cartas en el asunto y en las próximas actualizaciones de Xcode así como de
Más información | Microsoft Threat Intelligence
