A Microsoft informou que, recentemente, descobriu que uma nova versão do malware XCSSET está atacando o macOS — especialmente aqueles usados por desenvolvedores que trabalham com projetos no Xcode.
Essa é a primeira vez que uma nova variante desse malware aparece desde 2022. Por enquanto, os ataques são limitados, mas essa nova versão é mais perigosa e difícil de detectar, porque foi aprimorada com técnicas para se esconder melhor, permanecer ativa no sistema por mais tempo e se espalhar de novas maneiras.
A versão recém-descoberta, segundo a Microsoft, usa métodos mais complexos para se esconder. Por exemplo, o malware agora gera códigos maliciosos de forma mais aleatória, misturando técnicas de codificação como Base64 e xxd (hexdump).
Além disso, os nomes das partes do malware são “disfarçados”, o que dificulta entender o que ele está fazendo. Para garantir que continue funcionando mesmo após reinicializações, o malware usa dois truques principais:
- No primeiro, ele cria um arquivo escondido no sistema e faz com que ele seja executado automaticamente toda vez que o usuário abre uma nova janela do Terminal;
- No segundo, ele substitui o ícone do Launchpad por uma versão falsa, que executa o malware toda vez que o usuário clica nele.
O XCSSET agora tem novas maneiras de infectar projetos no Xcode, podendo esconder o código malicioso em diferentes partes do projeto, escolhendo entre várias estratégias, como TARGET, RULE ou FORCED_STRATEGY. Se um desenvolvedor baixar um projeto infectado sem saber, ele pode acabar espalhando o malware sem querer.
Segundo o CriptoFacil, o malware consegue roubar informações de carteiras de criptomoedas, capturar dados de aplicativos como Telegram e Skype, e até mesmo tirar capturas de tela ou criptografar arquivos, exigindo um resgate para liberá-los (um ataque ransomware).
O XCSSET se espalha principalmente por projetos do Xcode infectados. Se um desenvolvedor baixa um projeto contaminado, o malware se instala no computador e pode infectar outros projetos, criando um efeito dominó. Assim, o malware pode atingir muitas pessoas sem que percebam.
Para se proteger, a Microsoft recomenda verificar a origem dos projetos do Xcode baixados. Evite projetos de fontes desconhecidas e prefira lojas oficiais, como a Mac App Store, para instalar aplicativos.
O XCSSET foi identificado pela primeira vez em 2020 e, desde então, vem evoluindo. Ele já explorou falhas zero-day e tem como alvo principal desenvolvedores, justamente para se espalhar de forma mais ampla.
Se você é um desenvolvedor ou usa um Mac, fique atento e siga as recomendações para evitar cair nessa armadilha. Afinal, ninguém quer ver seus dados ou arquivos nas mãos de criminosos, certo?
dica do @GuilhermeFsa
