s0658-xcsset - RunkIntel

# XCSSET > Tipo: **infostealer/supply chain** · S0658 · [MITRE ATT&CK](https://attack.mitre.org/software/S0658) ## Cadeia de Infecção ```mermaid graph TB A["🎯 Supply Chain Projeto Xcode infectado T1195.001"] --> B["💥 Compilacao pelo dev Payload executado ao fazer build"] B --> C["🔧 Persistência SSH keys T1098.004 Launch Daemon T1543.004 Fake Launchpad"] C --> D["🔍 Coleta de dados Wallets, Notes, Cookies TCC bypass T1548.006"] D --> E["📡 Exfiltração C2 HTTPS criptografado T1041"] classDef delivery fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef persist fill:#3498db,color:#fff classDef collect fill:#27ae60,color:#fff classDef c2 fill:#9b59b6,color:#fff class A delivery class B exploit class C persist class D collect class E c2 ``` ## Descrição [[s0658-xcsset|XCSSET]] e uma familia de malware modular para macOS entregue por meio de projetos Xcode infectados - um vetor de supply chain sofisticado que aproveita o habito de desenvolvedores Apple de compartilhar projetos Xcode entre si. Documentada pela primeira vez pela Trend Micro em agosto de 2020, a familia continuou evoluindo com novas variantes identificadas em 2021, 2022 e uma versao significativamente aprimorada reportada pela Microsoft em fevereiro/marco de 2025. A atribuicao a um ator específico permanece desconhecida até o momento. O mecanismo de infecção e distintivo: ao comprometer um projeto Xcode compartilhado ou clonado de repositorios como GitHub, o [[s0658-xcsset|XCSSET]] se propaga automaticamente para todos os desenvolvedores que compilam o projeto infectado, sem necessidade de interação adicional da vitima. O malware fica embutido nas configuracoes de build do Xcode (campos TARGET, RULE, FORCED_STRATEGY ou TARGET_DEVICE_FAMILY) e e executado automaticamente durante o processo de compilacao. Versoes mais recentes utilizam ofuscacao em múltiplos estagios com codificacao hex e base64 encadeadas para dificultar análise estática. O [[s0658-xcsset|XCSSET]] implementa tres mecanismos de persistência distintos: modificacao do perfil de shell para execução em cada nova sessao, substituicao do Launchpad legitimo por uma versao falsa no dock do sistema, e hooks em commits Git para garantir propagação. Para coleta de dados, o malware emprega bypass do TCC (Transparency, Consent and Control) do macOS ([[t1548-006-tcc-manipulation|T1548.006]]) para acessar diretorios protegidos como Desktop, Downloads e Documents sem alertar o usuario. A captura de carteiras digitais (Bitcoin, Exodus, Electrum), dados do app Notes da Apple, cookies do Safari via SCP e credenciais de aplicativos como Telegram, Skype e WeChat compoe seu arsenal de exfiltração. **Plataformas:** macOS ## Diagrama de Módulos ```mermaid graph TB subgraph Módulos_XCSSET M1["📦 Core Shell Downloader + C2 AppleScript compilado"] M2["🔑 Credential Module Safari cookies, web session T1539 + T1555"] M3["💰 Wallet Module Bitcoin, Exodus, Electrum T1005"] M4["📝 Notes Module Apple Notes exfiltração T1005"] M5["🌐 Browser Module Chrome, Firefox spoofing T1554"] end M1 --> M2 M1 --> M3 M1 --> M4 M1 --> M5 ``` ## Técnicas Utilizadas - [[t1195-001-compromise-software-dependencies-and-development-tools|T1195.001 - Compromise Software Dependencies and Development Tools]] - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] - [[t1518-software-discovery|T1518 - Software Discovery]] - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1553-001-gatekeeper-bypass|T1553.001 - Gatekeeper Bypass]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1098-004-ssh-authorized-keys|T1098.004 - SSH Authorized Keys]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1574-006-dynamic-linker-hijacking|T1574.006 - Dynamic Linker Hijacking]] - [[t1548-006-tcc-manipulation|T1548.006 - TCC Manipulation]] - [[t1554-compromise-host-software-binary|T1554 - Compromise Host Software Binary]] - [[t1543-004-launch-daemon|T1543.004 - Launch Daemon]] ## Detecao A detecao do [[s0658-xcsset|XCSSET]] requer abordagem comportamental dado o alto grau de ofuscacao. Verificar integridade de projetos Xcode antes de compilar - auditar o arquivo `project.pbxproj` em busca de scripts de build nao esperados ou referências a URLs externas. Monitorar processos `osascript` e `osacompile` executados durante compilacao de projetos. Detectar modificacoes no perfil de shell (`~/.zshrc`, `~/.bash_profile`) por processos nao interativos. Alertar para aplicações no dock que substituem o caminho do Launchpad legítimo. Ferramentas de EDR para macOS devem monitorar acesso ao diretorio TCC.db e tentativas de reset da base TCC. Regras YARA da Trend Micro e Microsoft cobrindo os estagio de decodificacao hex/base64 encadeados sao eficazes contra variantes conhecidas. > [!warning] Alerta para Desenvolvedores > Sempre inspecionar projetos Xcode clonados antes de compilar - especialmente contribuicoes de terceiros ou projetos de repositorios públicos. Verificar o arquivo `project.pbxproj` por scripts suspeitos no campo Build Phase. ## Relevância LATAM/Brasil O [[s0658-xcsset|XCSSET]] tem relevância direta para o ecossistema de desenvolvimento de software brasileiro, que conta com uma comunidade ativa de desenvolvedores iOS e macOS. Startups de tecnologia em Sao Paulo e outros centros de inovacao que colaboram em projetos Xcode abertos ou compartilham código com parceiros internacionais estao potencialmente expostos. Empresas de fintech brasileiras - que frequentemente desenvolvem aplicativos iOS para servicos bancarios e pagamentos - representam alvos de alto valor dado o foco do [[s0658-xcsset|XCSSET]] em carteiras de criptomoeda e credenciais financeiras. O modelo de infecção via supply chain de desenvolvimento e especialmente insidioso em ambientes de agile team com prática de compartilhamento de código. ## Referências - [1](https://attack.mitre.org/software/S0658/) MITRE ATT&CK - XCSSET S0658 - [2](https://www.microsoft.com/en-us/security/blog/2025/03/11/new-xcsset-malware-adds-new-obfuscation-persistence-techniques-to-infect-xcode-projects/) Microsoft Security Blog - New XCSSET macOS malware (2025) - [3](https://thehackernews.com/2025/02/microsoft-uncovers-new-xcsset-macos.html) The Hacker News - Microsoft uncovers new XCSSET variant (2025)