Sicherheitsforscher warnen vor einer neuen Malware, die sich speziell an iOS-Entwickler richtet. Bekannt als XcodeSpy, Die Malware ist eine trojanisierte Version einer legitimen App.
XcodeSpy: Trojanisiertes Xcode-Projekt für iOS-Entwickler
Forscher von Sentinel Labs sind kürzlich auf ein trojanisiertes Xcode-Projekt aufmerksam geworden, das sich an iOS-Entwickler richtet. Das Projekt ist eine böswillige Version eines legitimen, Open-Source-Projekt auf GitHub verfügbar, Aktivieren von iOS-Programmierern, um verschiedene erweiterte Funktionen zum Animieren der iOS-Registerkartenleiste zu verwenden.
Laut Sentinel Labs Bericht, XcodeSpy wurde geändert, um ein verschleiertes Ausführungsskript auszuführen, sobald das Build-Ziel des Entwicklers gestartet wurde. Der Zweck des Skripts besteht darin, den Befehls- und Kontrollserver des Angreifers zu kontaktieren, und löschen Sie eine benutzerdefinierte Variante von die EggShell Hintertür auf der Maschine. Persistenz auf dem infizierten Host erreichen, Die Malware installiert einen Benutzer Launch Agent. Die Malware kann auch Informationen vom Mikrofon aufzeichnen, Kamera, und Tastatur.
„Der XcodeSpy-Infektionsvektor könnte von anderen Bedrohungsakteuren verwendet werden, Allen Apple-Entwicklern, die Xcode verwenden, wird empfohlen, bei der Übernahme von gemeinsam genutzten Xcode-Projekten Vorsicht walten zu lassen,Warnten die Forscher in ihrem Bericht.
Zwei Varianten der Nutzlast entdeckt
Die Forscher entdeckten zwei Varianten der Backdoor-Nutzlast, Beide enthalten eine Reihe verschlüsselter Befehls- und Steuerungs-URLs und verschlüsselte Zeichenfolgen für verschiedene Dateipfade. „Insbesondere eine verschlüsselte Zeichenfolge wird zwischen dem behandelten Xcode-Projekt und den benutzerdefinierten Hintertüren gemeinsam genutzt, Verknüpfen Sie sie im Rahmen derselben XcodeSpy-Kampagne,Sagte Sentinel Labs.
Weiter, Die XcodeSpy-Malware kann eine integrierte Funktion der Apple IDE missbrauchen, mit der Entwickler ein benutzerdefiniertes Shell-Skript ausführen können. Die Technik kann leicht identifiziert werden; jedoch, Unerfahrene Entwickler sind sich möglicherweise der Funktion "Skript ausführen" nicht bewusst, wodurch sie dem Risiko ausgesetzt sind, das schädliche Skript auszuführen.
Mindestens eine US-Organisation wurde von diesen Angriffen angegriffen. Apple-Entwickler in Asien sind möglicherweise ebenfalls gefährdet.
Beispiele der Hintertüren wurden im August auf VirusTotal hochgeladen 5 und Oktober 13 letztes Jahr, während die XcodeSpy-Malware erstmals im September hochgeladen wurde 4. Sentinal Labs, jedoch, Ich glaube, dass die Angreifer die Proben hochgeladen haben, um die Erkennungsraten zu testen.
In 2019, ein die XcodeGhost-Malware wurde in freier Wildbahn nachgewiesen. Es war auch eine modifizierte Version einer realen Entwicklungsumgebung, Entwickelt, um genau wie das eigentliche Programm zu erscheinen, ohne Anzeichen dafür zu erkennen, dass es sich um eine gefährliche Belastung handelt.