XcodeSpy Malware

È stato osservato che i criminali informatici si spostano costantemente verso il lancio di attacchi alla catena di approvvigionamento, poiché questa campagna minacciosa consente loro di raggiungere numerose potenziali vittime pur dovendo compromettere una singola entità iniziale. I ricercatori di infosec hanno scoperto una campagna di attacco lanciata contro gli sviluppatori Apple. Gli autori delle minacce sfruttano la funzionalità Esegui script disponibile nell'IDE Xcode di Apple per diffondere un progetto Xcode con Trojan. Il nome dato alla nuova minaccia è il malware XcodeSpy. XcodeSpy è un minaccioso progetto Xcode progettato per stabilire una backdoor EggShell sul sistema macOS compromesso, creando allo stesso tempo un meccanismo persistente per garantire la sua presenza prolungata lì. Gli hacker hanno iniettato il malware XcodeSpy in un progetto open source legittimo chiamato TabBarInteraction disponibile su GitHub. Il progetto TabBarInteraction Xcode legittimo offre agli sviluppatori l'accesso a funzionalità avanzate durante l'animazione della barra delle schede di iOS e la sua interazione con l'utente. La versione minacciosa che trasporta XcodeSpy, tuttavia, è stata ottimizzata per eseguire un Run Script offuscato che viene avviato ogni volta che viene lanciato l'obiettivo di build dello sviluppatore. A sua volta, lo script danneggiato contatta l'infrastruttura Command-and-Control (C2, C&C) impostata dagli aggressori e recupera una variante personalizzata della backdoor EggShell. Al momento della sua esecuzione, la prima azione della backdoor è creare un meccanismo di persistenza. Lascerà un LauncherAgent in una delle due posizioni: ~ / Library / LaunchAgents / com.apple.usagestatistics.plist o ~ / Library / LaunchAgents / com.apple.appstore.checkupdate.plist. Il "plist" eseguirà un controllo per determinare se l'eseguibile originale è in esecuzione. Se il risultato è negativo, recupererà ed eseguirà una copia del file da una cosiddetta versione "master" situata in ~ / Library / Application Support / com.apple.AppStore / .update. La backdoor EggShell procederà quindi ad avviare la sua funzionalità principale: spiare la vittima mirata. La minaccia può creare registrazioni dal microfono, dalla fotocamera e dalla tastiera dell'utente. Tutti i dati raccolti verranno esfiltrati su un server remoto. La backdoor consente inoltre all'attore della minaccia di rilasciare file aggiuntivi sul sistema compromesso Sebbene le tecniche impiegate da XcodeSpy non siano così sofisticate, potrebbero essere replicate per eseguire facilmente script compromessi in qualsiasi progetto Xcode condiviso. Si consiglia agli sviluppatori Apple di controllare qualsiasi progetto Xcode di terze parti che intendono adottare per la presenza di script di esecuzione sospetti o minacciosi.