top of page

Nova variante do malware XCSSET que ataca Devs de Xcode no macOS

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 26 de set. de 2025
  • 2 min de leitura

O Microsoft Threat Intelligence emitiu um alerta detalhado sobre uma nova e mais sofisticada variante do malware XCSSET para macOS, detectada em ataques limitados. Este malware modular, já conhecido por ser um ladrão de informações e criptomoedas, incorporou novas funcionalidades que aumentam significativamente sua capacidade de roubo, incluindo segmentação aprimorada de navegadores, sequestro da área de transferência e mecanismos de persistência mais robustos.


O XCSSET é particularmente insidioso por ter como alvo principal os desenvolvedores que utilizam o Xcode — o ambiente de desenvolvimento integrado (IDE) da Apple. Ele se espalha ao infectar outros projetos Xcode encontrados no dispositivo. Desta forma, o malware é executado automaticamente no momento em que o projeto contaminado é compilado. A Microsoft avalia que este método de infecção e propagação se baseia principalmente no compartilhamento de arquivos de projeto entre desenvolvedores que criam aplicativos para macOS ou Apple.


A nova variante do XCSSET apresenta diversas mudanças notáveis. O malware agora intensifica seus esforços para roubar dados de navegadores, incluindo o Firefox, ao instalar uma versão modificada do utilitário de código aberto HackBrowserData. Esta ferramenta é usada para descriptografar e exportar dados sensíveis, como senhas e cookies, dos armazenamentos de dados dos navegadores infectados.


Um dos recursos mais perigosos desta nova versão é a atualização de seu componente de sequestro da área de transferência (clipboard hijacking). O código monitora ativamente a área de transferência do macOS em busca de padrões de endereços de criptomoedas. Ao detectar um endereço, o malware o substitui imediatamente por um pertencente ao invasor.


Este ataque man-in-the-middle silencioso garante que qualquer criptomoeda que o usuário tente enviar de um dispositivo infectado seja desviada diretamente para a carteira dos hackers.


Além das táticas de roubo, os hackers por trás do XCSSET aprimoraram os métodos de persistência do malware no sistema. A nova variante cria entradas LaunchDaemon que executam uma carga útil oculta e forja um aplicativo falso chamado System Settings.app dentro da pasta temporária /tmp, numa tentativa de mascarar suas atividades e evitar a detecção.


A Microsoft afirmou que a nova variante ainda não está amplamente disseminada, tendo sido observada apenas em ataques limitados. Os pesquisadores da empresa compartilharam imediatamente suas descobertas com a Apple e estão colaborando com o GitHub para remover quaisquer repositórios de código associados à disseminação do malware.


Para desenvolvedores e usuários de macOS, a Microsoft enfatiza a importância de manter o sistema operacional e todos os aplicativos sempre atualizados, uma vez que o XCSSET já demonstrou capacidade de explorar vulnerabilidades, incluindo falhas de dia zero.


Especificamente para a comunidade de desenvolvedores, a principal recomendação é ser extremamente cauteloso: é crucial inspecionar minuciosamente qualquer projeto Xcode antes de compilá-lo, especialmente quando o código foi recebido ou compartilhado por terceiros.


Via - BC

 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

contato@cybersecbrazil.com.br

(11)97240-7838

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page