Una investigación de TrendMicro, una campaña dirigida a usuarios de Mac está distribuyendo el malware XCSSET que tiene, entre otras, la capacidad de inyectar diferentes payloads en el navegador Safari, propiciando el robo de contraseñas, datos financieros y personales, así como la ejecución de ransomware.

La manera de propagación es poco usual, ya que utiliza proyectos de Xcode, una suite de desarrollo para dispositivos de Apple. El proyecto de Xcode es infectado con código malicioso, que se ejecuta durante la compilación.

El riesgo aumenta cuando los desarrolladores afectados comparten sus proyectos en plataformas como Github, lo que afecta a otros desarrolladores, que dependen de estos repositorios para sus propios proyectos.

El payload inicial viene en forma de ejecutable Mach-O, cuyo único cometido es el de contactar con el servidor de control (C2), para posteriormente descargar y ejecutar una segunda fase, en formato AppleScript, que contiene la mayor parte del código malicioso.

Tras una recopilación inicial de información del sistema, comienza con el verdadero objetivo. El malware genera un paquete de aplicación, que simula ser una aplicación legítima, como puede ser el navegador Safari, reemplazando el icono de la misma, de manera que los usuarios, al abrirla, están en realidad ejecutando el malware.

Una vez activo, el malware es capaz de desplegar una serie de módulos específicos, para tomar posesión de navegadores, robar información de otras aplicaciones, ejecutar ransomware. De acuerdo con el informe de Trendmicro, utiliza una vulnerabilidad 0-day del Data Vault de macOS, que le permite acceder a las cookies del navegador, lo que permitiría a su vez suplantar al usuario en numerosos servicios web en los que estuviese en sesión.

Más información

https://blog.trendmicro.com/trendlabs-security-intelligence/xcsset-mac-malware-infects-xcode-projects-performs-uxss-attack-on-safari-other-browsers-leverages-zero-day-exploits/
https://threatpost.com/mac-spyware-xcode-projects/158388/