I marts, 2021, Sentinel Labs forskere blev opmærksomme på en trojaniseret Xcode-projekt målrettet mod iOS-udviklere. Projektet var en ondsindet version af en legitim, open source-projekt tilgængeligt på GitHub, gør det muligt for iOS-programmører at bruge flere avancerede funktioner til animering af fanebladet iOS.
XCSSET Malware udstyret med nye farlige muligheder
Nu, en lignende kampagne er igen målrettet mod Xcode-udviklere, denne gang udstyret med Mac'er, der kører Apples nye M1-chips. Malwaren er også i stand til at stjæle følsomme oplysninger fra cryptocurrency-applikationer.
XCSSET-malware blev først opdaget i august, 2020, da den spredte sig via ændrede Xcode IDE-projekter. Malware fungerer normalt ved at pakke om nyttelastmoduler for at fremstå som legitime Mac-apps, som ender med at inficere lokale Xcode-projekter. Malwaremodulerne inkluderer stjæling af legitimationsoplysninger, skærmbillede optagelse, indsprøjtning af ondsindet JavaScript til websteder, stjæle appdata, og i nogle tilfælde, endda ransomwarefunktioner.
Nyere XCSSET-varianter er samlet til Apple M1-chips, Kaspersky-forskning afslørede sidste måned. Dette er et tydeligt tegn på, at malwareoperatørerne tilpasser deres malware til at passe til de nyeste Apple-teknologier.
Hvad angår de nyeste malware-varianter, Trend Micro siger, at XCSSET fortsætter med at udnytte Safari-browseren til at inficere websteder med JavaScript-bagdøre i Universal Cross-site Scripting (UXSS) angreb. Ifølge Trend Micros seneste rapport:
[...] denne malware udnytter udviklingsversionen af Safari til at indlæse ondsindede Safari-rammer og relaterede JavaScript-bagdøre fra dens C&C server. Det er vært for Safari-opdateringspakker i C&C server, derefter downloader og installerer pakker til brugerens OS-version. At tilpasse sig den nyligt udgivne Big Sur, nye pakker til “Safari 14” blev tilføjet.
Andre forbedringer inkluderer malwareens evne til at målrette mod de nyeste macOS-versioner:
Malware's nyeste moduler, som det nye ikoner.php-modul introducerer ændringer til ikonerne, så de passer til deres offers OS. For eksempel, et falsk Finders ikon til macOS-versioner 10.15 og lavere har en downloadet ikonfil ved navn Finder.icns med firkantede hjørner, mens macOS 11.1 har en downloadet ikonfil ved navn FinderBigSur.icns og har et ikon med afrundede hjørner til at efterligne dem, der bruges i Big Sur.
Med andre ord, malware kan også oprette efterligningsapps til Big Sur, oprettet fra ondsindede AppleScript-filer, hvor ikonfiler downloades fra en kommando-og-kontrol-server. Malware ændrer derefter deres info.plist-filer “, så ikonet for den falske app er overbevisende forklædt som den legitime app, den prøver at efterligne," Trend Micro siger.
Da XCSSET spreder sig via skræddersyede Xcode-projekter, udviklere har konstant risiko for infektion ved at dele deres projekter på GitHub og yderligere inficere andre intetanende udviklere. Dette kunne skabe muligheden for et forsyningskædelignende angreb for udviklere, der bruger de inficerede opbevaringssteder som afhængigheder i deres projekter.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: