O Microsoft Threat Intelligence emitiu um alerta sobre uma nova e sofisticada variante do malware XCSSET, direcionada a desenvolvedores de macOS. Conhecido por roubar informações e criptomoedas, o malware agora apresenta funcionalidades aprimoradas que aumentam significativamente seu potencial de ataque, incluindo sequestro de clipboard, coleta de dados de navegadores e mecanismos avançados de persistência.
O XCSSET tem como alvo principal desenvolvedores que utilizam o Xcode, IDE da Apple. Ele se propaga ao infectar projetos Xcode no dispositivo, ativando-se automaticamente quando o projeto contaminado é compilado. Esse método de infecção explora o compartilhamento de projetos entre desenvolvedores de aplicativos macOS e Apple.
A nova variante intensifica o roubo de dados de navegadores, incluindo Firefox, usando uma versão modificada do HackBrowserData para descriptografar e exportar senhas, cookies e outros dados sensíveis.
Um dos recursos mais críticos é o sequestro da área de transferência. O malware monitora endereços de criptomoedas copiados e os substitui pelo endereço do invasor, desviando qualquer transação de forma silenciosa e eficaz.
Além disso, os hackers aprimoraram a persistência do XCSSET, criando entradas LaunchDaemon e forjando um aplicativo falso chamado System Settings.app na pasta /tmp para mascarar suas atividades e dificultar a detecção.
A Microsoft ressalta que, até o momento, a nova variante foi observada apenas em ataques limitados. A empresa compartilhou as descobertas com a Apple e colabora com o GitHub para remover repositórios de código associados à propagação do malware.
Para usuários e desenvolvedores de macOS, a recomendação é manter o sistema e aplicativos sempre atualizados, além de revisar cuidadosamente qualquer projeto Xcode recebido de terceiros, prevenindo a execução de código malicioso.
