Microsoft Threat Intelligence ha encendido las alarmas: se ha detectado una nueva variante del malware XCSSET en macOS que, aunque por ahora se ha visto en ataques limitados, llega con trucos más avanzados. Entre ellos, destacan un mejor enfoque en la manipulación del navegador, secuestro del portapapeles y mecanismos de persistencia reforzados para mantenerse activo en el sistema.
XCSSET no es nuevo en la escena. Se trata de un malware modular que funciona como ladrón de información y de criptomonedas, capaz de robar notas, billeteras digitales y datos de navegación de los equipos que logra infectar.
Su forma de propagarse es especialmente peligrosa: busca proyectos de Xcode dentro del dispositivo, los contamina y se asegura de ejecutarse cada vez que el desarrollador compila un proyecto.
En palabras de Microsoft: “El malware XCSSET está diseñado para infectar proyectos de Xcode, comúnmente usados por desarrolladores de software, y ejecutarse durante la construcción de una aplicación en este entorno”. En resumen, su capacidad de diseminarse a través de proyectos compartidos entre programadores lo convierte en una amenaza silenciosa pero con un enorme potencial de impacto.
En esta nueva variante de XCSSET, los investigadores han identificado varios cambios que lo hacen aún más peligroso.
Por un lado, el malware ahora apunta directamente a Firefox, utilizando una versión alterada de HackBrowserData (una herramienta de código abierto diseñada para descifrar y extraer información almacenada en los navegadores). Gracias a esta modificación, los atacantes pueden robar con mayor facilidad datos sensibles de quienes usan este navegador.
Pero eso no es todo. La actualización también mejora el módulo de secuestro del portapapeles. En dispositivos con macOS infectados, el malware monitoriza continuamente lo que el usuario copia y pega. Si detecta algo que parece una dirección de criptomoneda, la reemplaza automáticamente por otra controlada por los atacantes.
¿El resultado? Cualquier transferencia de criptomonedas realizada desde un dispositivo comprometido termina en las carteras digitales de los ciberdelincuentes, en lugar de llegar al destinatario legítimo.
Direcciones de criptomonedas del atacante utilizadas con el secuestrador del portapapeles (Fuente: Microsoft)
Podría interesarte leer: Nuevo Troyano RatOn en Android Puede Vacíar tus Cuentas Bancarias
El malware no solo roba datos, también sabe cómo mantenerse oculto en el sistema. La nueva variante de XCSSET incorpora métodos de persistencia más sofisticados, como la creación de entradas LaunchDaemon que ejecutan una carga maliciosa llamada ~/.root. Además, llega al punto de generar una falsa aplicación de ajustes del sistema (Settings.app) en la carpeta /tmp para disfrazar su actividad y pasar desapercibido.
Por ahora, la amenaza no está muy extendida. Microsoft asegura que solo se ha detectado en ataques limitados, aunque ya ha compartido la información con Apple y colabora con GitHub para eliminar los repositorios infectados que ayudan a propagar el malware.
Para protegerse, la recomendación principal es clara: mantener macOS y todas las aplicaciones siempre actualizadas. En TecnetOne insistimos mucho en este punto, ya que XCSSET ha sabido aprovechar vulnerabilidades de tipo día cero en el pasado, lo que lo convierte en una amenaza especialmente peligrosa si el sistema no está al día.
Además, Microsoft aconseja a los desarrolladores revisar con detalle los proyectos de Xcode antes de compilarlos, en especial cuando provienen de terceros o han sido compartidos en repositorios. Este es uno de los principales canales que el malware utiliza para infiltrarse en los entornos de desarrollo.