Los operadores del malware XCSSET macOS han aumentado las apuestas al realizar mejoras iterativas que agregan soporte para macOS Monterey al actualizar sus componentes de c\u00f3digo fuente a Python 3.<\/p>\n
“Los autores del malware han pasado de ocultar el ejecutable principal en una Xcode.app falsa en las versiones iniciales en 2020 a una Mail.app falsa en 2021 y ahora a una Notes.app falsa en 2022”, los investigadores de SentinelOne, Phil Stokes y Dinesh Devadoss. dijo<\/a> en un informe<\/p>\n XCSSET, documentado por primera vez por Trend Micro en 2020, tiene muchas partes m\u00f3viles que le permiten recopilar informaci\u00f3n confidencial de Apple Notes, WeChat, Skype y Telegram; inyectar c\u00f3digo JavaScript malicioso en varios sitios web; y descargue las cookies del navegador web Safari.<\/p>\n Las cadenas de infecci\u00f3n implican el uso de un cuentagotas para comprometer los proyectos Xcode de los usuarios con la puerta trasera, y este \u00faltimo tambi\u00e9n toma medidas para evadir la detecci\u00f3n haci\u00e9ndose pasar por el software del sistema o la aplicaci\u00f3n del navegador web Google Chrome.<\/p>\n El ejecutable principal es un AppleScript que est\u00e1 dise\u00f1ado para recuperar cargas \u00fatiles de AppleScript de segunda etapa desde una red de servidores remotos que extraen datos almacenados en navegadores web como Google Chrome, Mozilla Firefox, Microsoft Edge, Brave y Yandex Browser, as\u00ed como aplicaciones de chat como Telegrama y WeChat.<\/p>\n Tambi\u00e9n se sabe que el actor de amenazas usa un AppleScript personalizado (“listing.applescript”) para determinar “qu\u00e9 tan actualizada est\u00e1 la v\u00edctima con la herramienta de eliminaci\u00f3n de malware XProtect y MRT de Apple, presumiblemente lo mejor para atacarlos con cargas \u00fatiles m\u00e1s efectivas”. \u201d, dijeron los investigadores.<\/p>\n Uno de los aspectos novedosos del ataque es que la implementaci\u00f3n del malware dentro de los proyectos de Xcode se considera un m\u00e9todo de propagaci\u00f3n a trav\u00e9s de los repositorios de GitHub para expandir a\u00fan m\u00e1s su alcance.<\/p>\n Adem\u00e1s de aprovechar AppleScripts, el malware tambi\u00e9n aprovecha los scripts de Python para colocar iconos de aplicaciones falsas en el Dock de macOS y robar datos de la aplicaci\u00f3n Notes leg\u00edtima.<\/p>\n La \u00faltima versi\u00f3n de XCSSET tambi\u00e9n se destaca por incorporar modificaciones a AppleScripts para tener en cuenta las funciones de Apple. eliminaci\u00f3n<\/a> de Python 2.7 de macOS 12.3 lanzado el 14 de marzo de 2022, lo que indica que los autores actualizan continuamente el malware para aumentar sus posibilidades de \u00e9xito.<\/p>\n Con ese fin, se dice que el adversario actualiz\u00f3 su “safari_remote.applescript” al eliminar Python 2 a favor de Python 3 para sistemas que ejecutan macOS Monterey 12.3 y superior.<\/p>\n A pesar de estar en libertad durante dos a\u00f1os, se sabe muy poco sobre la identidad de los actores de la amenaza y sus motivaciones o sus objetivos exactos. Dicho esto, los ataques de malware XCSSET han sido reportado en China<\/a> recientemente, en mayo de 2022, que exig\u00eda que las v\u00edctimas pagaran 200 USDT a cambio de desbloquear cuentas robadas.<\/p>\n “En este momento, no est\u00e1 claro si estos repositorios infectados son v\u00edctimas o plantas de los actores de amenazas que esperan infectar a los usuarios desprevenidos”, se\u00f1alaron los investigadores. “Se ha sugerido que los usuarios desprevenidos pueden ser se\u00f1alados a los repositorios infectados a trav\u00e9s de tutoriales y capturas de pantalla para desarrolladores novatos”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/Investigadores-encuentran-telefonos-falsificados-con-puerta-trasera-para-hackear-cuentas.png\")
<\/a><\/div>\n![\"Software](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/Actualizaciones-de-malware-XCSSET-con-Python-3-para-usuarios-de.jpg\" "\\"Software")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1661187374_43_Investigadores-encuentran-telefonos-falsificados-con-puerta-trasera-para-hackear-cuentas.png\")
<\/a><\/div>\n