Зловреден софтуер на macOS се разпространява чрез компрометирани Xcode проекти.
Злонамерени Xcode проекти се използват за отвличане на системи на разработчици и разпространение на персонализирани задни врати на EggShell.
Сигурност
- 8 навика на много сигурни дистанционни работници
- Как да намерите и премахнете шпионски софтуер от телефона си
- Най-добрите VPN услуги: Как се сравняват топ 5?
- Как да разберете дали сте замесени в нарушение на сигурността на данните -- и какво да направите след това
Зловреден софтуер, наречен XcodeSpy, е насочен към Xcode, интегрирана среда за разработка (IDE), използвана в macOS за разработване на софтуер и приложения на Apple.
Според изследване, публикувано от SentinelLabs в четвъртък, функцията Run Script в IDE се използва при целенасочени атаки срещу разработчици на iOS чрез троянизирани Xcode проекти, свободно споделяни онлайн.
Законни Xcode проекти с отворен код могат да бъдат намерени в GitHub. В този случай обаче проектите на XcodeSpy предлагат „разширени функции“ за анимиране на ленти с раздели на iOS – и след като
първоначално изграждане се изтегли и стартира, се внедрява злонамерен скрипт за инсталиране на задната врата на EggShell.Злонамереният проект, изследван от изследователите, е копирана версия на TabBarInteraction, легитимен проект, който не е бил компрометиран.
Скриптът Run на IDE е бил тихо манипулиран, за да се свърже командно-контролният (C2) сървър на атакуващия към проекта на разработчика. По-специално, функционалността на IDE на Apple, която позволява персонализирани скриптове на обвивката да се внедряват при стартиране на екземпляр на приложение, е обект на злоупотреба.
След това C2 се свързва от скрипта, за да изтегли и изтегли персонализиран вариант на задната врата на EggShell, който инсталира потребителски LaunchAgent за постоянство.
Открити са два варианта на EggShell – единият от които споделя шифрован низ с XcodeSpy.
Задната врата е в състояние да отвлече микрофона, камерата и клавиатурата на програмиста на жертвата, както и да вземе и изпрати файлове до C2 на атакуващия.
SentinelLabs казва, че поне една американска организация е била хваната в атаки от този характер и разработчиците в Азия също може да са се поддали на кампанията, която е в действие поне между юли и октомври миналата година година.
Образци от задните врати бяха качени във VirusTotal на 5 август и 13 октомври. XcodeSpy беше качен за първи път на 4 септември, но изследователите подозират, че нападателят може сам да е качил извадката, за да тества степента на откриване.
„Въпреки че изглежда, че XcodeSpy е директно насочен към самите разработчици, а не към продуктите или клиентите на разработчиците, това е кратко стъпка от задната врата на работната среда на разработчика до доставянето на зловреден софтуер на потребителите на софтуера на този разработчик", изследователите казвам. „Следователно, всички разработчици на Apple са предупредени да проверяват за наличието на злонамерени Run скриптове, когато приемат Xcode проекти на трети страни.“
През август Trend Micro проследи XCSSET зловреден софтуер в проекти на Xcode, за които се смята, че са били разпространени, за да компрометират сесии на браузър Safari за фишинг, атаки със скриптове между сайтове (XSS) и кражба на данни на разработчици.
Екипът каза, че откритието в крайна сметка е довело до „заешка дупка от злонамерени полезни товари“.
Предишно и свързано покритие
-
Зловреден софтуер за Mac се разпространява чрез Xcode проекти, злоупотребява с уязвимости на WebKit, Data Vault
-
Най-добрият iPad през 2021 г.: Кой модел iPad трябва да купите?
-
Malvertiser злоупотреби с WebKit zero-day, за да пренасочи потребителите на iOS и macOS към сенчести сайтове
Имате съвет? Свържете се безопасно чрез WhatsApp | Сигнал на +447713 025 499 или на Keybase: charlie0