Variante mise à jour du malware macOS découverte par Microsoft
Microsoft a observé un malware macOS auparavant dormant qui est redevenu actif dans une nouvelle variante ciblant les appareils Apple de toutes sortes.
Microsoft Threat Intelligence a partagé des informations sur le malware dans un article sur X, indiquant qu'il s'agit d'une nouvelle version de XCSSET créée en 2022. Les experts en sécurité ont expliqué que le malware mis à jour a « des méthodes d'obscurcissement améliorées, des mécanismes de persistance mis à jour et de nouvelles stratégies d'infection ».
Microsoft Threat Intelligence a découvert une nouvelle variante de XCSSET, un malware macOS modulaire sophistiqué qui cible les utilisateurs en infectant les projets Xcode, dans la nature. Bien que nous ne voyons cette nouvelle variante XCSSET que dans des attaques limitées pour le moment, nous partageons cette information… pic.twitter.com/oWfsIKxBzB
— Microsoft Threat Intelligence (@MsftSecIntel) 17 février 2025
TechRadar a noté que le malware XCSSET est essentiellement un voleur d'informations, capable d'attaquer les portefeuilles numériques, de collecter des données de l'application Apple Notes et de collecter des informations et des fichiers système.
Le malware est particulièrement dangereux car il utilise des projets infectés sur la plateforme Xcode d'Apple pour infiltrer les appareils. Xcode est l'environnement de développement intégré (IDE) officiel qu'Apple propose pour la création d'applications pour ses différents systèmes d'exploitation, notamment macOS, iOS, iPadOS, watchOS et tvOS. L'environnement comprend un éditeur de code, un débogueur, un Interface Builder et des outils pour tester et déployer des applications, ajoute la publication.
Comme indiqué, la variante XCSSET mise à jour inclut des processus, permettant au malware de mieux se masquer dans Xcode. Pour ce faire, il utilise deux techniques, appelées « zshrc » et « dock ». La première attaque permet au malware de créer un fichier, ~/.zshrc_aliases, qui contient les données infectées. Ensuite, il ajoute une commande dans le fichier ~/.zshrc, qui invitera le fichier infecté à se lancer à chaque fois qu'une nouvelle session shell est lancée. Cela garantira que le malware continuera à se propager avec des sessions shell supplémentaires.
Lors de la deuxième attaque, le malware télécharge « un outil dockutil signé à partir d'un serveur de commande et de contrôle pour gérer les éléments du dock », a expliqué Microsoft. Après cela, il crée une fausse application Launchpad pour remplacer l'entrée de chemin de l'application Launchpad réelle sur la station d'accueil de l'appareil. Lorsqu'un utilisateur exécute Launchpad sur un appareil infecté, l'application Launchpad réelle et la version du malware s'exécuteront toutes deux, propageant ainsi XCSSET.
Microsoft Threat Intelligence a expliqué qu'il n'a détecté la nouvelle variante du malware que « lors d'attaques limitées », et qu'il partage des informations sur la menace afin que les utilisateurs et les organisations puissent prendre des mesures de précaution.