A Microsoft identificou uma nova variante do malware XCSSET, que tem como alvo dispositivos macOS em ataques limitados, mas altamente sofisticados. Essa é a primeira atualização significativa do malware desde 2022, trazendo novos métodos de ofuscação, mecanismos aprimorados de persistência e estratégias inovadoras de infecção, tornando sua detecção e análise ainda mais desafiadoras. O XCSSET foi inicialmente documentado pela Trend Micro em 2020 e é conhecido por se disseminar por meio de projetos Xcode.

Ao longo dos anos, ele evoluiu para comprometer novas versões do macOS e os processadores M1 da Apple, além de roubar dados de carteiras digitais, exfiltrar informações de aplicativos como Google Chrome, Telegram, Evernote, Skype e WeChat, e explorar falhas no sistema para capturar screenshots do desktop sem permissão. A nova versão descoberta pela Microsoft emprega um método inédito de persistência, baixando uma versão assinada da ferramenta dockutil a partir de um servidor de comando e controle (C2) para alterar os itens do dock do macOS.

O malware cria um falso aplicativo Launchpad e substitui a entrada original no dock, garantindo que, sempre que o usuário abrir o Launchpad, tanto a versão legítima quanto a carga maliciosa sejam executadas simultaneamente. Além disso, o malware continua utilizando técnicas avançadas de ofuscação, dificultando sua detecção por ferramentas de segurança convencionais. Com essa nova atualização, o XCSSET reafirma sua capacidade de adaptação, tornando-se uma ameaça persistente para usuários de macOS. Especialistas alertam para a necessidade de monitoramento contínuo, restrição de permissões e verificação rigorosa de softwares baixados, especialmente para desenvolvedores que utilizam o Xcode.