XcodeSpy Malware

Zaobserwowano, że cyberprzestępcy przechodzą w kierunku systematycznego przeprowadzania ataków na łańcuch dostaw, ponieważ ta groźna kampania pozwala im dotrzeć do wielu potencjalnych ofiar, jednocześnie zmuszając do narażania pojedynczego pierwotnego podmiotu. Badacze infosec odkryli kampanię ataku skierowaną na deweloperów Apple. Atakujący wykorzystują funkcję Run Script dostępną w środowisku Apple Xcode IDE do rozprzestrzeniania trojanizowanego projektu Xcode. Nazwa nadana nowemu zagrożeniu to złośliwe oprogramowanie XcodeSpy. XcodeSpy to groźny projekt Xcode, który ma na celu ustanowienie backdoora EggShell w zaatakowanym systemie macOS, jednocześnie tworząc trwały mechanizm zapewniający jego długotrwałą obecność. Hakerzy wstrzyknęli złośliwe oprogramowanie XcodeSpy do legalnego projektu open source o nazwie TabBarInteraction, który jest dostępny na GitHub. Legalny projekt TabBarInteraction Xcode zapewnia programistom dostęp do zaawansowanych funkcji podczas animowania paska kart iOS i jego interakcji z użytkownikiem. Jednak groźna wersja zawierająca XcodeSpy została zmodyfikowana w celu wykonania zaciemnionego skryptu uruchamiania, który jest inicjowany za każdym razem, gdy uruchamiany jest cel kompilacji programisty. Z kolei uszkodzony skrypt kontaktuje się z infrastrukturą Command-and-Control (C2, C&C) utworzoną przez atakujących i pobiera niestandardowy wariant backdoora EggShell. Po jego wykonaniu pierwszym działaniem backdoora jest utworzenie mechanizmu trwałości. Spowoduje to upuszczenie LauncheraAgent w jednej z dwóch lokalizacji - ~ / Library / LaunchAgents / com.apple.usagestatistics.plist lub ~ / Library / LaunchAgents / com.apple.appstore.checkupdate.plist. „Plist" sprawdzi, czy oryginalny plik wykonywalny jest uruchomiony. Jeśli wynik będzie negatywny, pobierze i wykona kopię pliku z tak zwanej wersji „master" znajdującej się w ~ / Library / Application Support / com.apple.AppStore / .update. Backdoor EggShell przystąpi następnie do zainicjowania swojej głównej funkcjonalności - szpiegowania docelowej ofiary. Zagrożenie może tworzyć nagrania z mikrofonu, kamery i klawiatury użytkownika. Wszystkie zebrane dane zostaną przeniesione na zdalny serwer. Backdoor pozwala również osobie będącej zagrożeniem na upuszczenie dodatkowych plików do zaatakowanego systemu Chociaż techniki stosowane przez XcodeSpy nie są tak wyrafinowane, można je replikować w celu łatwego uruchamiania zagrożonych skryptów w dowolnym współdzielonym projekcie Xcode. Programiści Apple powinni sprawdzić każdy projekt Xcode innej firmy, który planują przyjąć, pod kątem obecności podejrzanych lub zagrażających skryptów uruchamiania.