XcodeSpy Malware

Observou-se que os cibercriminosos estão mudando para o lançamento de ataques à cadeia de suprimentos de forma constante, uma vez que essa campanha ameaçadora permite que eles alcancem inúmeras vítimas em potencial, tendo que comprometer uma entidade inicial única. Os pesquisadores de Infosec descobriram uma campanha de ataque lançada contra desenvolvedores da Apple. Os autores da ameaça exploram o recurso Run Script disponível no Xcode IDE da Apple para espalhar um projeto Xcode Trojanized. O nome dado à nova ameaça é malware XcodeSpy.

O XcodeSpy é um projeto Xcode ameaçador projetado para estabelecer um backdoor EggShell no sistema macOS comprometido, ao mesmo tempo que cria um mecanismo persistente para garantir sua presença prolongada lá. Os hackers injetaram o malware XcodeSpy em um projeto legítimo de código aberto chamado TabBarInteraction que está disponível no GitHub. O projeto TabBarInteraction Xcode legítimo dá aos desenvolvedores acesso a recursos avançados ao animar a barra de guias do iOS e sua interação com o usuário.

A versão ameaçadora do XcodeSpy, no entanto, foi ajustada para executar um Run Script ofuscado que é iniciado sempre que o destino de compilação do desenvolvedor for iniciado. Por sua vez, o script corrompido entra em contato com a infraestrutura de Comando e Controle (C2, C&C) configurada pelos invasores e busca uma variante personalizada do backdoor EggShell. Após sua execução, a primeira ação do backdoor é criar um mecanismo de persistência. Ele deixará o LauncherAgent em um dos dois locais -

~/Library/LaunchAgents/com.apple.usagestatistics.plist ou ~/Library/LaunchAgents/com.apple.appstore.checkupdate.plist.

O 'plist' fará uma verificação para determinar se o executável original está em execução. Se o resultado for negativo, ele irá buscar e executar uma cópia do arquivo de uma versão chamada 'master' localizada em ~/Library/Application Support/com.apple.AppStore/.update.

O backdoor do EggShell irá então iniciar sua funcionalidade principal - espiar a vítima alvo. A ameaça pode criar gravações do microfone, câmera e teclado do usuário. Todos os dados coletados serão exfiltrados para um servidor remoto. O backdoor também permite que o agente da ameaça coloque arquivos adicionais no sistema comprometido.

Embora as técnicas empregadas pelo XcodeSpy não sejam tão sofisticadas, elas podem facilmente serem replicadas para executar scripts comprometidos em qualquer projeto Xcode compartilhado. Os desenvolvedores da Apple são aconselhados a verificar qualquer projeto Xcode de terceiros que planejem adotar quanto à presença de Run Scripts suspeitos ou ameaçadores.