Il malware XCSSET diventa ransomware e prende di mira i Mac con chip M1

Nel corso del mese di agosto 2020 emersa una campagna malware che prendeva di mira gli sviluppatori Xcode, diffondendosi tramite progetti modificati e configurati appositamente per eseguire il payload dannoso. Il malware, facente parte della famiglia XCSSET, stato ora riconfigurato per aggiungervi anche funzionalit di ransomware e poter funzionare anche sui sistemi equipaggiati con i SoC Apple Silicon M1.

I moduli XCSSET hanno la possibilit di sottrarre credenziali, scattare screenshot dell’attivit dell’utente, iniettare JavaScript dannosi, intercettare dati da diverse app e, come accennato sopra, ora pu anche crittografare il contenuto del disco di sistema per chiedere un riscatto.

I ricercatori di sicurezza di Kaspersky hanno individuato nel corso del mese passato campioni XCSSET compilati per i nuovi processori M1 di Apple, elemento che indica non solo che la campagna ancora in essere, ma anche che in corso una gestione attiva del malware per consentire l’esecuzione nativa sui nuovi sistemi della Mela. La minaccia stata analizzata anche da Trend Micro, sottolineando che XCSSET continua ad abusare della versione developer del browser Safari cos da installare backdoor JavaScript tramite attacchi Universal Cross-site Scripting. Il malware inoltre noto per sfruttare la modalit di debug remoto dei broswer web, non solo con Safari ma anche con le alternative pi note.

Tra le nuove azioni che il malware ha mostrato in questa nuova versione vi anche il tentativo di furto delle credenziali di accesso a diversi servizi web, comprese le piattaforme per il trading di criptovaluta Huobi, Binance, NNCall.net, Envato e 163.com. In particolare si sottolinea anche la capacit di sostituire l’indirizzo del wallet dell’utente con altri sotto il controllo degli attaccanti.

Ricordiamo che XCSSET si diffonde tramite progetti Xcode modificati, che una volta aperti innescano il payload. Viene consigliata in particolare cautela agli sviluppatori che operano collaborativamente e fanno uso di progetti condivisi tramiteGitHubo altri servizi di repository.