Repéré par Microsoft, XCSSET refait surface avec une version plus discrète et plus résistante. Caché dans des projets Xcode légitimes, il s’infiltre dans les applications finales pour voler des données sensibles et s’installer durablement sur le système.
Après deux ans de silence, l’un des malwares macOS les plus sournois signe son grand retour. Tout juste repéré par Microsoft, ce nouveau variant de XCSSET cible une fois de plus les développeurs et développeuses en s’infiltrant dans les environnements Xcode pour voler des données sensibles. Plus discret et plus coriace, il pousse encore plus loin ses capacités d’obfuscation et de persistance, rendant sa détection et son éradication encore plus difficiles.
Un malware qui transforme les projets Xcode en cheval de Troie
Découvert en 2020, récidiviste en 2022, XCSSET s’est rapidement imposé comme l’une des menaces les plus vicieuses sur macOS. Et pour cause. Son mode opératoire repose sur l’infection directe des projets Xcode, ce qui lui permet de s’infiltrer discrètement dans les applications générées à partir de ces fichiers. En clair, toute appli compilée à partir d’un projet compromis embarque le malware, qui s’exécute ensuite sur les machines des utilisateurs et utilisatrices finaux pour exfiltrer données de navigation, messages privés, identifiants d’accès aux crypto-wallets
Initialement conçu pour siphonner les données de Chrome, Telegram ou Notes, il s’est progressivement adapté pour contourner les protections de macOS. Il a notamment été capable d’exploiter des vulnérabilités comme CVE-2021-30713, lui permettant de prendre des captures d’écran sans autorisation.
Aujourd’hui, cette nouvelle version renforce encore ses capacités d’obfuscation et de résistance. Pour passer sous le radar de l’analyse et de la détection, elle encode son code de manière aléatoire en combinant plusieurs techniques (Base64, hexdump), brouille les noms de ses modules et introduit de nouvelles méthodes d’infection.
Ses mécanismes de persistance sont aussi plus insidieux. D’une part, XCSSET modifie le fichier de configuration du shell ~/.zshrc pour se lancer automatiquement à chaque exécution du Terminal. D’autre part, il exploite et détourne le dock pour y remplacer le raccourci du Launchpad par une version factice. Par conséquent, lorsqu’une victime ouvre le Launchpad depuis le dock, le malware s’exécute en arrière-plan en même temps que l’appli légitime.
Comment limiter les risques d’infection par XCSSET ?
En l’absence de solution réellement efficace pour éradiquer XCSSET, on reste sur ses gardes. Si vous êtes développeurs ou développeuses, et que vous utilisez Xcode, n’exécutez jamais aveuglément un projet téléchargé ou cloné sans l’avoir inspecté minutieusement. Contrôlez les fichiers intégrés et méfiez-vous de tous scripts inconnus et modifications suspectes.
Concernant les utilisateurs et utilisatrices finaux, privilégiez les applications distribuées sur l’App Store, ou directement sur les sites officiels des éditeurs. Étudiez aussi systématiquement et très attentivement les permissions demandées pour vous assurer qu’aucune autorisation abusive n’est requise.
Pour information, Redmond a confirmé que Microsoft Defender for Endpoint pour macOS parvenait à détecter et neutraliser cette nouvelle variante. S’il ne s’agit pas de votre solution de sécurité, pensez à installer et mettre à jour un autre antivirus réputé.
06 février 2025 à 17h50
