XcodeSpy Malware

Penjenayah siber telah diperhatikan untuk bergerak melancarkan serangan rantai bekalan dengan stabil, kerana kempen yang mengancam ini memungkinkan mereka menjangkau banyak mangsa yang berpotensi sementara harus berkompromi dengan entitas awal yang tunggal. Penyelidik infosec telah menemui kempen serangan yang dilancarkan terhadap pemaju Apple. Para pelaku ancaman mengeksploitasi fitur Run Script yang terdapat di Xcode IDE Apple untuk menyebarkan Projek Xcode Trojanized. Nama yang diberikan kepada ancaman baru adalah perisian hasad XcodeSpy. XcodeSpy adalah projek Xcode yang mengancam yang dirancang untuk membuat pintu belakang EggShell ke sistem macOS yang dikompromikan sambil juga mewujudkan mekanisme berterusan untuk memastikan kehadirannya yang berpanjangan di sana. Penggodam menyuntik perisian hasad XcodeSpy ke dalam projek sumber terbuka yang sah yang disebut TabBarInteraction yang tersedia di GitHub. Projek TabBarInteraction Xcode yang sah memberi pemaju akses kepada ciri canggih ketika menghidupkan Bar Tab iOS dan interaksinya dengan pengguna. Versi mengancam yang membawa XcodeSpy, bagaimanapun, telah di-tweak untuk menjalankan Skrip Jalankan yang disamarkan yang dimulai setiap kali sasaran pembangun dilancarkan. Pada gilirannya, skrip yang rosak menghubungi infrastruktur Command-and-Control (C2, C&C) yang disiapkan oleh penyerang dan mengambil varian khusus dari pintu belakang EggShell. Setelah pelaksanaannya, tindakan pertama pintu belakang adalah membuat mekanisme ketekunan. Ia akan menurunkan LauncherAgent di salah satu daripada dua lokasi - ~ / Library / LaunchAgents / com.apple.usagestatistics.plist atau ~ / Library / LaunchAgents / com.apple.appstore.checkupdate.plist. 'Plist' akan melakukan pemeriksaan untuk menentukan sama ada yang boleh dilaksanakan yang asal sedang dijalankan. Sekiranya hasilnya negatif, ia akan mengambil dan melaksanakan salinan fail dari apa yang disebut 'master' versi yang terdapat di ~ / Library / Application Support / com.apple.AppStore / .update. Pintu belakang EggShell kemudian akan meneruskan untuk memulakan fungsi utamanya - mengintip mangsa yang disasarkan. Ancaman itu boleh membuat rakaman dari mikrofon, kamera dan papan kekunci pengguna. Semua data yang dikumpulkan akan dikeluarkan ke pelayan jauh. Pintu belakang juga membolehkan pelaku ancaman menjatuhkan fail tambahan ke sistem yang dikompromikan Walaupun teknik yang digunakan oleh XcodeSpy tidak begitu canggih, mereka dapat ditiru untuk menjalankan skrip yang dikompromikan dalam projek Xcode yang dikongsi dengan mudah. Pembangun Apple dinasihatkan untuk memeriksa mana-mana projek Xcode pihak ketiga yang mereka rancangkan untuk mengetahui adanya Skrip Run yang mencurigakan atau mengancam.