Ciberseguridad 360 | Aviso de ciberseguridad: nueva amenaza en macOS dirigida a navegadores

Investigadores en ciberseguridad han descubierto una versi�n actualizada de un conocido programa para macOS de Apple llamado XCSSET, que se ha observado en ataques limitados.

"Esta nueva variante de XCSSET aporta cambios clave relacionados con la orientaci�n al navegador y los mecanismos de persistencia", afirm� el equipo de Inteligencia de Amenazas de Microsoft en un informe publicado el jueves.

XCSSET es el nombre asignado a un sofisticado programa modular dise�ado para infectar proyectos Xcode utilizados por desarrolladores de software y desplegar sus capacidades cuando se est� compilando. A�n no est� claro c�mo se distribuye exactamente, pero se sospecha que la propagaci�n se basa en los archivos de proyectos Xcode que comparten los desarrolladores que crean aplicaciones para macOS.

A principios de marzo, Microsoft descubri� varias mejoras en el malware, destacando su mejor gesti�n de errores y el uso de tres t�cnicas de persistencia diferentes para extraer datos confidenciales de los hosts comprometidos.

Se ha descubierto que la �ltima variante de XCSSET incorpora un subm�dulo clipper que supervisa el contenido del portapapeles en busca de patrones de expresiones regulares (tambi�n conocidos como regex) espec�ficos que coincidan con diversas carteras de criptomonedas. En caso de coincidencia, el malware sustituye la direcci�n de la cartera del portapapeles por otra controlada por el atacante para redirigir las transacciones.

El fabricante de Windows tambi�n se�al� que la nueva versi�n introduce cambios en la cuarta etapa de la cadena de infecci�n, en particular cuando se utiliza una aplicaci�n AppleScript para ejecutar un comando shell con el fin de recuperar el AppleScript de la etapa final, que se encarga de recopilar informaci�n del sistema y lanzar varios subm�dulos mediante una funci�n boot().

En particular, las modificaciones incluyen comprobaciones adicionales para el navegador Mozilla Firefox y una l�gica modificada para determinar la presencia de la aplicaci�n de mensajer�a Telegram. Tambi�n se observan cambios en los distintos m�dulos, as� como nuevos m�dulos que no exist�an en versiones anteriores.

vexyeqj, el m�dulo de informaci�n anteriormente denominado seizecj, que descarga un m�dulo llamado bnk que se ejecuta mediante osascript. El script define funciones para la validaci�n de datos, el cifrado, el descifrado, la obtenci�n de datos adicionales del servidor de comando y control (C2) y el registro. Tambi�n incluye la funcionalidad clipper.
neq_cdyd_ilvcmwx, un m�dulo similar a txzx_vostfdi que exfiltra archivos al servidor C2
xmyyeqjx, un m�dulo para configurar la persistencia basada en LaunchDaemon
jey, un m�dulo para configurar la persistencia basada en Git
iewmilh_cdyd, un m�dulo para extraer datos de Firefox utilizando una versi�n modificada de una herramienta disponible p�blicamente llamada HackBrowserData

Para mitigar la amenaza que supone XCSSET, se recomienda a los usuarios que se aseguren de mantener su sistema actualizado, inspeccionen los proyectos Xcode descargados o clonados desde repositorios u otras fuentes, y tengan cuidado al copiar y pegar datos confidenciales desde el portapapeles.

Fuente: thehackernews