A equipa de Threat Intelligence da Microsoft emitiu um alerta sobre uma nova variante do XCSSET, um malware para macOS que tem como alvo principal os programadores. Esta nova versão chega com funcionalidades melhoradas para roubo de dados, desvio de criptomoedas e mecanismos de persistência mais sofisticados.
O XCSSET é conhecido por ser um malware modular, funcionando como um ladrão de informações e criptomoedas, capaz de extrair dados de notas, carteiras digitais e navegadores de internet dos dispositivos infetados.
Um perigo escondido em projetos Xcode
A principal via de propagação do XCSSET é a infeção de projetos Xcode, o ambiente de desenvolvimento de software da Apple. O malware é executado quando um projeto infetado é compilado. Segundo a Microsoft, “este modo de infeção e propagação aproveita-se da partilha de ficheiros de projetos entre programadores que criam aplicações para o ecossistema da Apple”.
Quando um developer partilha um projeto infetado, sem saber, está a ajudar a espalhar a ameaça para outros computadores.
Funcionalidades novas e mais perigosas
A variante recentemente detetada pela Microsoft apresenta várias novidades preocupantes. Uma delas é a capacidade de roubar dados do navegador Firefox, utilizando uma versão modificada da ferramenta de código aberto HackBrowserData, que consegue desencriptar e exportar informações guardadas no browser.
Outra funcionalidade alarmante é o sequestro da área de transferência. O malware monitoriza ativamente o que é copiado e, ao detetar um padrão correspondente a um endereço de carteira de criptomoedas, substitui-o por um endereço pertencente ao atacante. Desta forma, qualquer transação de criptomoedas realizada pela vítima é desviada para os criminosos.
Para garantir que permanece no sistema, o XCSSET utiliza novos métodos de persistência. Cria entradas LaunchDaemon que executam um payload malicioso e gera uma aplicação falsa de Definições do Sistema no diretório /tmp para mascarar a sua atividade.
Como proteger-se desta ameaça
Apesar de a nova variante ainda não estar amplamente disseminada, a Microsoft reporta que já a observou em ataques limitados. A empresa partilhou as suas descobertas com a Apple e está a colaborar com o GitHub para remover os repositórios associados à ameaça.
Para se proteger, é fundamental manter o macOS e todas as aplicações atualizadas, uma vez que o XCSSET já explorou vulnerabilidades no passado, incluindo falhas de dia-zero. Para os programadores, a Microsoft recomenda uma inspeção cuidadosa de todos os projetos Xcode antes da sua compilação, especialmente se tiverem sido partilhados por terceiros.
Nenhum comentário
Seja o primeiro!