Er is een nieuwe variant van de XCSSET macOS-malware ontdekt, meldt Microsoft Threat Intelligence. Deze versie heeft enkele nieuwe functies, waaronder verbeterde methoden om browsers aan te vallen, klembordkaping en geavanceerdere technieken om op systemen aanwezig te blijven.

De XCSSET-malware, een modulair infostealer en cryptodief, richt zich op het stelen van Notities, cryptowallets en browsergegevens van geïnfecteerde apparaten. De malware verspreidt zich door te zoeken naar en te infecteren andere Xcode-projecten op het apparaat, zodat de malware wordt uitgevoerd zodra het project wordt gebouwd.

“De XCSSET-malware is ontworpen om Xcode-projecten te infecteren, meestal gebruikt door softwareontwikkelaars, en wordt uitgevoerd bij het bouwen van een Xcode-project,” aldus Microsoft.

De manier waarop deze malware zich verspreidt, is door projectbestanden te gebruiken die vaak worden gedeeld door ontwikkelaars van Apple- of macOS-gerelateerde applicaties.

In de nieuwste variant die door Microsoft is ontdekt, zijn enkele veranderingen waargenomen. Zo probeert de malware nu om Firefox-browsergegevens te stelen door een aangepaste versie van de open-source tool HackBrowserData te installeren, die browsergegevens kan ontsleutelen en exporteren.

Daarnaast heeft de malware een update gekregen voor de component die het klembord kaapt. Deze update controleert op patronen die verband houden met crypto-adressen. Wanneer zo’n adres wordt gedetecteerd, vervangt de malware het door een adres van de aanvaller. Daardoor wordt alle door de gebruiker verzonden cryptocurrency naar de aanvallers gestuurd in plaats van de beoogde ontvanger.

De malware bevat ook nieuwe manieren om op systemen aanwezig te blijven, zoals het aanmaken van LaunchDaemon-items die een ~/.root payload uitvoeren en een valse System Settings.app in /tmp creëren om zijn activiteiten te verbergen.

Hoewel deze nieuwe variant nog niet wijdverbreid is, heeft Microsoft deze al in enkele beperkte aanvallen waargenomen. De onderzoekers hebben hun bevindingen gedeeld met Apple en werken samen met GitHub om gerelateerde repositories te verwijderen.

Om je tegen dit soort malware te beschermen, is het aan te raden om je macOS en apps up-to-date te houden, vooral omdat XCSSET eerder kwetsbaarheden, waaronder zero-days, heeft uitgebuit.

Microsoft raadt ontwikkelaars ook aan om altijd Xcode-projecten te inspecteren voordat ze worden gebouwd, vooral wanneer deze door anderen zijn gedeeld.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.