Malware per Mac che si diffonde tramite progetti Xcode: è mistero

Un malware che si diffonde nei sistemi Mac sfruttando meccaniche sconosciute all'interno di progetti Xcode: è l'ultima scoperta dei ricercatori di sicurezza di TrendMicro, che fanno luce su una minaccia che potrebbe avere risvolti anche gravi, portando potenzialmente all'esecuzione di codice da remoto o alla presa di controllo del sistema infettato.

Il malware, facente parte della famiglia XCSSET, viene descritto come "un'infezione insolita correlata a progetti di sviluppatori Xcode" dove il malware è incorporato nel progetto stesso e può contare su svariate opzioni di payload. I ricercatori di TrendMicro sottolineano la natura insolita del malware e in particolare il modo in cui viene distribuito: il malware viene infatti iniettato in un progetto Xcode così che quando quest'ultimo viene aperto, il codice dannoso possa essere eseguito automaticamente. Attualmente è ancora ignoto il modo in cui il codice del malware venga inserito nel progetto Xcode.

Il malware può rappresentare quindi una minaccia per gli utenti finali che fanno uso di programmi realizzati tramite l'IDE di Apple, ma sembra essere ancor più grave per gli sviluppatori stessi. I ricercatori in particolare consigliano particolare cautela agli sviluppatori che operano collaborativamente e fanno uso di progetti condivisi tramite GitHub o altri servizi di repository.

Una volta che il malware viene eseguito, è in grado di attaccare Safari e altri browser Mac allo scopo di acquisire dati e informazioni sull'utente. Sono state inoltre scoperte due vulnerabilità 0-day: la prima è relativa a Data Vault che ignora la funzione di protezione dell'integrita del sistema di macOS, mentre la seconda riguarda Safari e in particolare WebKit che può creare un'app fasulla che viene eseguita al posto della versione legittima. Esiste la possibilità che il malware abiliti un meccanismo di command & control che può consentire il controllo da remoto e la conseguente possibilità di eseguire praticamente qualsiasi tipo di attacco.

Il malware è stato fino ad ora individuato in due progetti Xcode, che tuttavia non dovrebbero essere largamente utilizzati. L'impatto sarebbe quindi al momento piuttosto circoscritto, e i ricercatori hanno evidenziato come gli autori del malware siano stati in grado di raccogliere circa 380 indirizzi IP delle vittime, con la maggior parte delle compromissioni in Cina e in India.