XcodeSpy Malware

Er is waargenomen dat cybercriminelen geleidelijk overgaan op het lanceren van supply chain-aanvallen, omdat deze bedreigende campagne hen in staat stelt om talloze potentiële slachtoffers te bereiken terwijl ze een enkele initiële entiteit moeten compromitteren. De infosec-onderzoekers hebben een aanvalscampagne tegen Apple-ontwikkelaars ontdekt. De bedreigingsactoren maken gebruik van de Run Script-functie die beschikbaar is in Apple's Xcode IDE om een Trojanized Xcode-project te verspreiden. De naam die aan de nieuwe dreiging wordt gegeven, is XcodeSpy-malware. XcodeSpy is een bedreigend Xcode-project dat is ontworpen om een EggShell-achterdeur op het gecompromitteerde macOS-systeem te creëren en tegelijkertijd een permanent mechanisme te creëren om zijn langdurige aanwezigheid daar te garanderen. De hackers injecteerden de XcodeSpy-malware in een legitiem open-sourceproject genaamd TabBarInteraction dat beschikbaar is op GitHub. Het legitieme TabBarInteraction Xcode-project geeft ontwikkelaars toegang tot geavanceerde functies bij het animeren van de iOS-tabbalk en de interactie met de gebruiker. De bedreigende versie met XcodeSpy is echter aangepast om een versluierd Run Script uit te voeren dat wordt gestart wanneer het builddoel van de ontwikkelaar wordt gelanceerd. De beschadigde scrip maakt op zijn beurt contact met de Command-and-Control-infrastructuur (C2, C&C) die door de aanvallers is opgezet en haalt een aangepaste variant van de EggShell- achterdeur op. Bij de uitvoering is de eerste actie van de achterdeur het creëren van een persistentiemechanisme. Het zal een LauncherAgent op een van de twee locaties laten vallen: ~ / Bibliotheek / LaunchAgents / com.apple.usagestatistics.plist of ~ / Bibliotheek / LaunchAgents / com.apple.appstore.checkupdate.plist. De 'plist' zal een controle uitvoeren om te bepalen of het originele uitvoerbare bestand wordt uitgevoerd. Als het resultaat negatief is, zal het een kopie van het bestand ophalen en uitvoeren vanuit een zogenaamde 'master'-versie die zich bevindt op ~ / Library / Application Support / com.apple.AppStore / .update. De achterdeur van de EggShell begint dan met het starten van de belangrijkste functionaliteit: het bespioneren van het beoogde slachtoffer. De dreiging kan opnames maken van de microfoon, camera en toetsenbord van de gebruiker. Alle verzamelde gegevens worden naar een externe server geëxfiltreerd. De achterdeur stelt de bedreigingsacteur ook in staat om extra bestanden op het gecompromitteerde systeem te plaatsen Hoewel de technieken die door XcodeSpy worden gebruikt niet zo geavanceerd zijn, kunnen ze worden gerepliceerd om gecompromitteerde scripts in elk gedeeld Xcode-project gemakkelijk uit te voeren. Apple-ontwikkelaars wordt aangeraden om elk Xcode-project van derden dat ze van plan zijn te adopteren, te controleren op de aanwezigheid van verdachte of bedreigende Run Scripts.