XcodeSpy Kötü Amaçlı Yazılım

Siber suçluların, tedarik zinciri saldırılarını düzenli bir şekilde başlatmaya yöneldikleri gözlemlendi, çünkü bu tehditkar kampanya, tekil bir ilk varlığı tehlikeye atmak zorunda kalırken çok sayıda potansiyel kurbana ulaşmalarına izin veriyor. Infosec araştırmacıları, Apple geliştiricilerine karşı başlatılan bir saldırı kampanyasını ortaya çıkardılar. Tehdit aktörleri, Trojanized Xcode Projesini yaymak için Apple'ın Xcode IDE'sinde bulunan Run Script özelliğinden yararlanır. Yeni tehdide verilen ad XcodeSpy kötü amaçlı yazılımdır. XcodeSpy, tehlikeye atılan macOS sistemine bir EggShell arka kapısı kurarken, aynı zamanda orada uzun süreli varlığını sağlamak için kalıcı bir mekanizma oluşturmak için tasarlanmış tehdit edici bir Xcode projesidir. Bilgisayar korsanları, XcodeSpy kötü amaçlı yazılımını GitHub'da bulunan TabBarInteraction adlı meşru bir açık kaynaklı projeye enjekte etti. Yasal TabBarInteraction Xcode projesi, geliştiricilere iOS Sekme Çubuğunu ve bunun kullanıcıyla etkileşimini canlandırırken gelişmiş özelliklere erişim sağlar. Bununla birlikte, XcodeSpy'ı taşıyan tehdit edici sürüm, geliştiricinin oluşturma hedefi her başlatıldığında başlatılan karmaşık bir Çalıştırma Komut Dosyasını yürütmek için ayarlandı. Buna karşılık, bozuk komut dosyası, saldırganlar tarafından kurulan Komut ve Kontrol (C2, C&C) altyapısıyla iletişim kurar ve EggShell arka kapısının özel bir varyantını getirir. Yürütüldüğünde, arka kapının ilk eylemi bir kalıcılık mekanizması oluşturmaktır. İki konumdan birine bir LauncherAgent bırakacaktır - ~ / Library / LaunchAgents / com.apple.usagestatistics.plist veya ~ / Library / LaunchAgents / com.apple.appstore.checkupdate.plist. 'Plist', orijinal yürütülebilir dosyanın çalışıp çalışmadığını belirlemek için bir kontrol gerçekleştirecektir. Sonuç negatifse, dosyanın bir kopyasını ~ / Library / Application Support / com.apple.AppStore / .update adresinde bulunan sözde 'ana' sürümden alır ve çalıştırır. EggShell arka kapısı daha sonra ana işlevini başlatmaya devam edecek - hedeflenen kurbanı gözetlemek. Tehdit, kullanıcının mikrofonundan, kamerasından ve klavyesinden kayıtlar oluşturabilir. Toplanan tüm veriler uzak bir sunucuya aktarılacaktır. Arka kapı ayrıca tehdit aktörünün güvenliği ihlal edilen sisteme ek dosyalar bırakmasına da olanak tanır. XcodeSpy tarafından kullanılan teknikler o kadar karmaşık olmasa da, herhangi bir paylaşılan Xcode projesinde güvenliği ihlal edilmiş komut dosyalarını kolayca çalıştırmak için kopyalanabilir. Apple geliştiricilerine, benimsemeyi planladıkları üçüncü taraf Xcode projelerinde, şüpheli veya tehdit edici Run Scripts olup olmadığını kontrol etmeleri önerilir.