Microsoft Amenazing Intelligence informa que se ha detectado una nueva variante del malware XCSSet MacOS en ataques limitados, incorporando varias características nuevas, incluida la orientación mejorada del navegador, el secuestro de portapapeles y los mejores mecanismos de persistencia.
XCSSET es un malware de macOS modular que actúa como un inftaller y robador de criptomonedas, robo de notas, billeteras de criptomonedas y datos de navegador de dispositivos infectados. El malware se extiende buscando e infectando otros proyectos de XCode que se encuentran en el dispositivo, de modo que el malware se ejecuta cuando se construye el proyecto.
«El XCSSet Malware está diseñado para infectar proyectos XCode, típicamente utilizados por los desarrolladores de software, y se ejecuta mientras se está construyendo un proyecto XCode», explica Microsoft.
«Evaluamos que este modo de infección y bancos de propagación en los archivos de proyectos se comparten entre los desarrolladores que construyen Apple o aplicaciones relacionadas con MacOS».
En una nueva variante observada por Microsoft, los investigadores han notado varios cambios.
Ahora intenta robar datos del navegador Firefox instalando una compilación modificada de la fuente abierta Hackebrowserdata Herramienta, que se utiliza para descifrar y exportar datos del navegador de las tiendas de datos del navegador.
La nueva variante también incluye una actualización de componentes de hijacio de portapapeles que monitorea el portapapeles MacOS para patrones de expresión regulares asociados con direcciones de criptomonedas.
Cuando se detecta una dirección de cifrado, reemplazará la dirección con una perteneciente al atacante. Esto hace que cualquier criptomoneda enviada por el usuario en un dispositivo infectado se envíe a los atacantes.
Fuente: Microsoft
El malware también incluye nuevos métodos de persistencia, como la creación de entradas de lanzamiento deonemon que ejecutan una carga útil ~ /.Root y crean una configuración del sistema falso.
La nueva variante aún no está muy extendida, y Microsoft informa que solo la ha observado en ataques limitados. Los investigadores también han compartido sus hallazgos con Apple y están trabajando con GitHub para eliminar los repositorios asociados.
Para proteger contra este tipo de malware, se recomienda mantener a los macOS y aplicaciones actualizados, especialmente teniendo en cuenta que XCSSet ha explotado previamente vulnerabilidades, incluyendo días cero.
Microsoft también recomienda que los desarrolladores siempre inspeccionen los proyectos de Xcode antes de construirlos, especialmente cuando otros han compartido con usted.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
