macOS kötü amaçlı yazılımı, güvenliği ihlal edilmiş Xcode projeleri aracılığıyla yayılıyor.
Kötü amaçlı Xcode projeleri, geliştirici sistemlerini ele geçirmek ve özel EggShell arka kapılarını yaymak için kullanılıyor.
Güvenlik
- Yüksek güvenlikli uzaktan çalışanların 8 alışkanlığı
- Telefonunuzdaki casus yazılımları bulma ve kaldırma
- En iyi VPN hizmetleri: İlk 5'in karşılaştırması nasıl?
- Bir veri ihlaline karışıp karışmadığınızı nasıl anlarsınız ve bundan sonra ne yapmalısınız?
XcodeSpy olarak adlandırılan kötü amaçlı yazılım, Apple yazılım ve uygulamalarını geliştirmek için macOS'ta kullanılan entegre bir geliştirme ortamı (IDE) olan Xcode'u hedef alıyor.
SentinelLabs tarafından yayınlanan araştırmaya göre Perşembe günüIDE'deki Komut Dosyasını Çalıştır özelliği, çevrimiçi olarak ücretsiz olarak paylaşılan Truva atı haline getirilmiş Xcode projeleri aracılığıyla iOS geliştiricilerine yönelik hedefli saldırılarda kullanılıyor.
Meşru, açık kaynaklı Xcode projeleri GitHub'da bulunabilir. Ancak bu durumda, XcodeSpy projeleri iOS sekme çubuklarını canlandırmak için "gelişmiş özellikler" sunuyor.
ilk yapı İndirilip başlatıldığında, EggShell arka kapısını yüklemek için kötü amaçlı bir komut dosyası dağıtılır.Araştırmacılar tarafından keşfedilen kötü amaçlı proje, TabBarEtkileşimi, tehlikeye atılmamış meşru bir proje.
Bir saldırganın komuta ve kontrol (C2) sunucusunu geliştiricinin projesine bağlamak için IDE'nin Çalıştır komut dosyasına sessizce müdahale edildi. Özellikle, Apple'ın bir uygulamanın bir örneğini başlatırken özel kabuk komut dosyalarının konuşlandırılmasına izin veren IDE işlevi kötüye kullanıma tabidir.
Daha sonra, kalıcılık için bir kullanıcı LaunchAgent'ı yükleyen EggShell arka kapısının özel bir varyantını alıp indirmek için komut dosyası C2 ile iletişime geçer.
EggShell'in iki çeşidi tespit edildi ve bunlardan biri XcodeSpy ile şifrelenmiş bir dizeyi paylaşıyor.
Arka kapı, kurban geliştiricinin mikrofonunu, kamerasını ve klavyesini ele geçirebilir, ayrıca dosyaları yakalayıp saldırganın C2'sine gönderebilir.
SentinelLabs, en az bir ABD kuruluşunun bu nitelikteki saldırılara yakalandığını ve geliştiricilerin Asya'da da en azından geçen Temmuz ve Ekim ayları arasında yürütülen kampanyaya yenik düşmüş olabilir yıl.
Arka kapı örnekleri 5 Ağustos ve 13 Ekim'de VirusTotal'a yüklendi. XcodeSpy ilk olarak 4 Eylül'de yüklendi ancak araştırmacılar, saldırganın tespit oranlarını test etmek için örneği kendisinin yüklemiş olabileceğinden şüpheleniyor.
"XcodeSpy, geliştiricilerin ürünleri veya müşterileri yerine doğrudan geliştiricilerin kendisini hedef alıyor gibi görünse de, bu kısa bir araştırmacılar, bir geliştiricinin çalışma ortamına arka kapı açmaktan o geliştiricinin yazılımının kullanıcılarına kötü amaçlı yazılım dağıtmaya kadar uzanan bir adım attıklarını belirtiyorlar. söylemek. "Sonuç olarak, tüm Apple geliştiricileri, üçüncü taraf Xcode projelerini benimsediklerinde kötü amaçlı Run komut dosyalarının varlığını kontrol etmeleri konusunda uyarıldı."
Ağustos ayında Trend Micro takip etti XCSSET kötü amaçlı yazılımı Xcode projelerinde, kimlik avı, siteler arası komut dosyası çalıştırma (XSS) saldırıları ve geliştirici verilerinin çalınması için Safari tarayıcı oturumlarını tehlikeye atmak amacıyla yayıldığı düşünülüyor.
Ekip, keşfin sonuçta "kötü niyetli yüklerden oluşan bir tavşan deliğine" yol açtığını söyledi.
Önceki ve ilgili kapsam
-
Mac kötü amaçlı yazılımları Xcode projeleri aracılığıyla yayılıyor, WebKit'i ve Veri Kasası güvenlik açıklarını kötüye kullanıyor
-
2021'in En İyi iPad'i: Hangi iPad modelini satın almalısınız?
-
Kötü amaçlı reklamveren, iOS ve macOS kullanıcılarını şüpheli sitelere yönlendirmek için WebKit sıfır gününü kötüye kullandı
Bir ipucunuz var mı? WhatsApp aracılığıyla güvenli bir şekilde iletişime geçin | +447713 025 499 veya Keybase üzerinden sinyal: charlie0