Nueva Variante del Malware XCSSET para macOS

Si usas macOS, probablemente te sientas más seguro que los usuarios de otros sistemas operativos. Y sí, Apple hace un buen trabajo protegiendo sus dispositivos. Pero esa confianza puede ser un arma de doble filo, porque hay amenazas que siguen evolucionando y buscando nuevas formas de colarse en tu sistema.

Un buen ejemplo es XCSSET, un malware modular que lleva al menos cinco años en circulación y que acaba de recibir una actualización preocupante. Esta nueva variante, detectada por el equipo de Inteligencia de Amenazas de Microsoft, tiene una mejor capacidad de ofuscación, mayor persistencia y nuevas estrategias de infección. ¿Su objetivo? Robar información confidencial, incluidas billeteras digitales y datos almacenados en la aplicación Notas de macOS.

XCSSET se propaga principalmente a través de proyectos Xcode infectados, y aunque no es un malware masivo, su evolución constante lo convierte en una amenaza real. Microsoft ha identificado esta última versión en ataques limitados, pero su desarrollo indica que los ciberdelincuentes siguen afinando sus tácticas.

XCSSET vuelve con una nueva variante más sigilosa y peligrosa

En 2021, Apple parchó una vulnerabilidad que XCSSET explotaba activamente como un ataque de día cero. Eso ya demostraba que quienes están detrás de este malware saben lo que hacen. Ahora, han vuelto con una versión mejorada, y Microsoft advierte que está en circulación con nuevas tácticas para evadir la detección y mantenerse en los dispositivos infectados.

¿Qué hay de nuevo en XCSSET?

Según los investigadores, esta variante trae mejoras en varios frentes, lo que la hace aún más difícil de detectar y eliminar. Estas son algunas de las actualizaciones clave:

1. Nueva ofuscación de código: Ahora usa técnicas más avanzadas basadas en codificación Base64 y xxd (hexdump) con múltiples capas de cifrado. También cambia los nombres de los módulos para que sea más difícil analizar qué hace cada uno.
   
   
2. Persistencia mejorada: Implementa dos técnicas principales para mantenerse en el sistema: zshrc y dock.
   
   
3. Nuevos métodos de infección en Xcode: XCSSET ahora usa diferentes estrategias para inyectar su carga maliciosa en proyectos Xcode, aprovechando opciones como TARGET, RULE y FORCED_STRATEGY. También es capaz de esconderse en la configuración de compilación para ejecutarse más adelante sin levantar sospechas.

¿Cómo se mantiene activo en el sistema?

Para garantizar que siga funcionando incluso después de un reinicio, XCSSET usa dos métodos principales:

1. Persistencia con zshrc: Crea un archivo llamado ~/.zshrc_aliases que contiene su carga maliciosa y lo enlaza en el archivo ~/.zshrc. Así, cada vez que se abre una nueva sesión de terminal, el malware se ejecuta en segundo plano.
   
   
2. Persistencia con dock: Descarga una herramienta firmada llamada dockutil desde su servidor de comando y control (C2). Luego, manipula los accesos directos en el Launchpad para reemplazar aplicaciones legítimas con versiones maliciosas. Cuando el usuario abre una app desde el dock, se ejecuta tanto la aplicación original como el malware.

Conoce más sobre: Las 10 Mayores Ciberamenazas para iPhone en 2025

XCSSET y Xcode: Un combo peligroso

Xcode es el entorno de desarrollo de Apple y la herramienta principal para crear aplicaciones para macOS, iOS y otras plataformas de Apple. Un proyecto en Xcode puede crearse desde cero o clonarse desde repositorios en línea. Ahí es donde XCSSET entra en acción.

Si el malware logra infectar un proyecto Xcode, cualquier desarrollador que lo descargue e intente ejecutarlo podría comprometer su Mac sin darse cuenta. Esto convierte a XCSSET en una amenaza sigilosa que puede propagarse entre programadores y sus aplicaciones.

¿Qué información roba XCSSET?

XCSSET no es solo un malware que se infiltra en sistemas; también es un experto en robar información sensible. Entre los datos que puede recolectar están:

1.  Credenciales de inicio de sesión
   
   
2.  Datos de aplicaciones de chat y navegadores
   
   
3.  Contenido de la aplicación Notas de macOS
   
   
4.  Información de billeteras digitales
   
   
5.  Datos del sistema y archivos importantes

¿Cómo protegerte?

Microsoft recomienda a los desarrolladores inspeccionar cuidadosamente cualquier proyecto Xcode que descarguen, especialmente si proviene de repositorios no oficiales. Un código aparentemente inofensivo podría ocultar malware ofuscado o puertas traseras.

Algunas recomendaciones clave:

1.  Descarga software solo de fuentes confiables.
   
   
2.  Revisa los permisos y la configuración de seguridad de tu Mac.
   
   
3.  Mantén tu sistema y Xcode actualizados.
   
   
4.  Usa herramientas de seguridad para detectar actividad sospechosa.
   
   

XCSSET sigue evolucionando, y aunque sus ataques sean más dirigidos, representa una amenaza seria para cualquier usuario de macOS, especialmente desarrolladores. Mantente alerta y no bajes la guardia.