XcodeSpy Malware

Es wurde beobachtet, dass Cyberkriminelle sich stetig auf Angriffe in der Lieferkette verlagern, da diese Bedrohungskampagne es ihnen ermöglicht, zahlreiche potenzielle Opfer zu erreichen und gleichzeitig eine einzelne ursprüngliche Einheit zu gefährden. Die Infosec-Forscher haben eine Angriffskampagne gegen Apple-Entwickler aufgedeckt. Die Bedrohungsakteure nutzen die in Apples Xcode-IDE verfügbare Funktion "Skript ausführen", um ein trojanisiertes Xcode-Projekt zu verbreiten. Der Name für die neue Bedrohung lautet XcodeSpy-Malware. XcodeSpy ist ein bedrohliches Xcode-Projekt, mit dem eine EggShell-Hintertür zum kompromittierten macOS-System eingerichtet und gleichzeitig ein dauerhafter Mechanismus geschaffen werden soll, um dessen längere Präsenz dort sicherzustellen. Die Hacker haben die XcodeSpy-Malware in ein legitimes Open-Source-Projekt namens TabBarInteraction injiziert, das auf GitHub verfügbar ist. Das legitime TabBarInteraction Xcode-Projekt bietet Entwicklern Zugriff auf erweiterte Funktionen, wenn sie die iOS-Registerkartenleiste und ihre Interaktion mit dem Benutzer animieren. Die bedrohliche Version mit XcodeSpy wurde jedoch optimiert, um ein verschleiertes Ausführungsskript auszuführen, das bei jedem Start des Build-Ziels des Entwicklers initiiert wird. Der beschädigte Scrip kontaktiert wiederum die von den Angreifern eingerichtete Command-and-Control-Infrastruktur (C2, C & C) und ruft eine benutzerdefinierte Variante der EggShell- Hintertür ab. Bei seiner Ausführung besteht die erste Aktion der Hintertür darin, einen Persistenzmechanismus zu erstellen. Es wird einen LauncherAgent an einem von zwei Orten ablegen - ~ / Library / LaunchAgents / com.apple.usagestatistics.plist oder ~ / Library / LaunchAgents / com.apple.appstore.checkupdate.plist. Die 'plist' führt eine Überprüfung durch, um festzustellen, ob die ursprüngliche ausführbare Datei ausgeführt wird. Wenn das Ergebnis negativ ist, wird eine Kopie der Datei von einer sogenannten 'Master'-Version abgerufen und ausgeführt, die sich unter ~ / Library / Application Support / com.apple.AppStore / .update befindet. Die EggShell-Hintertür startet dann ihre Hauptfunktionalität - das Ausspionieren des Zielopfers. Die Bedrohung kann Aufzeichnungen über das Mikrofon, die Kamera und die Tastatur des Benutzers erstellen. Alle gesammelten Daten werden auf einen Remote-Server übertragen. Über die Hintertür kann der Bedrohungsakteur auch zusätzliche Dateien auf dem gefährdeten System ablegen. Obwohl die von XcodeSpy verwendeten Techniken nicht so ausgefeilt sind, können sie repliziert werden, um kompromittierte Skripte in jedem gemeinsam genutzten Xcode-Projekt einfach auszuführen. Apple-Entwicklern wird empfohlen, jedes Xcode-Projekt eines Drittanbieters, das sie übernehmen möchten, auf verdächtige oder bedrohliche Run Scripts zu überprüfen.