Gli operatori del malware XCSSET per macOS hanno alzato la posta in gioco apportando miglioramenti iterativi che aggiungono il supporto per macOS Monterey aggiornando i componenti del codice sorgente a Python 3.
“Gli autori del malware sono passati dal nascondere l’eseguibile principale in una falsa app Xcode.app nelle versioni iniziali del 2020 a una falsa app Mail.app nel 2021 e ora a una falsa app Notes.app nel 2022”, hanno dichiarato in un rapporto i ricercatori di SentinelOne Phil Stokes e Dinesh Devadoss.
XCSSET, documentato per la prima volta da Trend Micro nel 2020, ha molte parti mobili che gli permettono di raccogliere informazioni sensibili da Apple Notes, WeChat, Skype e Telegram, iniettare codice JavaScript dannoso in vari siti web e scaricare cookie dal browser web Safari.
Le catene di infezione prevedono l’utilizzo di un dropper per compromettere i progetti Xcode degli utenti con la backdoor, con quest’ultima che prende anche provvedimenti per eludere il rilevamento mascherandosi da software di sistema o da applicazione del browser web Google Chrome.
L’eseguibile principale è un AppleScript progettato per recuperare payload AppleScript di secondo livello da una rete di server remoti che trafugano i dati memorizzati in browser web come Google Chrome, Mozilla Firefox, Microsoft Edge, Brave e Yandex Browser, nonché in app di chat come Telegram e WeChat.
L’attore della minaccia è anche noto per utilizzare un AppleScript personalizzato (“listing.applescript”) per determinare “quanto la vittima è aggiornata con lo strumento di rimozione malware XProtect e MRT di Apple, presumibilmente per poterla colpire con payload più efficaci”, hanno affermato i ricercatori.
Malware XCSSET
Uno degli aspetti inediti dell’attacco è che la distribuzione del malware all’interno dei progetti Xcode è vista come un metodo di propagazione attraverso i repository GitHub per espandere ulteriormente la sua portata.
Oltre a sfruttare AppleScripts, il malware sfrutta anche script Python per inserire icone di applicazioni false nel Dock di macOS e rubare dati dall’app Notes preinstallata.
L’ultima versione di XCSSET si distingue anche per l’incorporazione di modifiche ad AppleScripts per tener conto della rimozione di Python 2.7 da parte di Apple da macOS 12.3 rilasciato il 14 marzo 2022, il che indica che gli autori stanno aggiornando continuamente il malware per aumentare le loro possibilità di successo.
A tal fine, l’avversario avrebbe aggiornato il suo “safari_remote.applescript” eliminando Python 2 a favore di Python 3 per i sistemi con macOS Monterey 12.3 e successivi.
Nonostante la presenza in natura da due anni, si sa molto poco sull’identità degli attori della minaccia, sulle loro motivazioni e sui loro obiettivi esatti. Detto questo, in Cina sono stati segnalati attacchi di malware XCSSET già nel maggio 2022, che chiedevano alle vittime di pagare 200 USDT in cambio dello sblocco dei conti rubati.
“Al momento non è chiaro se questi repository infetti siano vittime o impianti di attori di minacce che sperano di infettare utenti incauti”, hanno osservato i ricercatori. “È stato suggerito che gli utenti ignari possano essere indirizzati ai repository infetti attraverso tutorial e screencast per sviluppatori alle prime armi”.
