März, 2021, Sentinel Labs-Forscher wurden auf a aufmerksam trojanisiertes Xcode-Projekt für iOS-Entwickler. Das Projekt war eine böswillige Version eines legitimen, Open-Source-Projekt auf GitHub verfügbar, Aktivieren von iOS-Programmierern, um verschiedene erweiterte Funktionen zum Animieren der iOS-Registerkartenleiste zu verwenden.
XCSSET-Malware mit neuen gefährlichen Funktionen ausgestattet
Jetzt, Eine ähnliche Kampagne richtet sich erneut an Xcode-Entwickler, Dieses Mal mit Macs ausgestattet, auf denen die neuen M1-Chips von Apple ausgeführt werden. Die Malware kann auch vertrauliche Informationen aus Kryptowährungsanwendungen stehlen.
Die XCSSET-Malware wurde erstmals im August entdeckt, 2020, als es sich über geänderte Xcode IDE-Projekte verbreitete. Die Malware verpackt normalerweise Nutzlastmodule neu, um sie als legitime Mac-Apps anzuzeigen, die am Ende lokale Xcode-Projekte infizieren. Zu den Modulen der Malware gehört das Stehlen von Anmeldeinformationen, Screenshot-Aufnahme, Injizieren von bösartigem JavaScript in Websites, App-Daten stehlen, und in einigen Fällen, sogar Ransomware-Funktionen.
Neuere XCSSET-Varianten wurden für Apple M1-Chips kompiliert, Kaspersky-Untersuchungen haben letzten Monat ergeben. Dies ist ein klares Zeichen dafür, dass die Malware-Betreiber ihre Malware an die neuesten Apple-Technologien anpassen.
Wie für die neuesten Malware-Varianten, Laut Trend Micro nutzt XCSSET den Safari-Browser weiterhin, um Websites mit JavaScript-Backdoors in Universal Cross-Site Scripting zu infizieren (UXSS) Anschläge. Laut dem neuesten Bericht von Trend Micro:
[...] Diese Malware nutzt die Entwicklungsversion von Safari, um schädliche Safari-Frameworks und zugehörige JavaScript-Backdoors von ihrem C zu laden&C-Server. Es hostet Safari-Update-Pakete im C.&C-Server, lädt dann Pakete für die Betriebssystemversion des Benutzers herunter und installiert sie. Anpassung an den neu erschienenen Big Sur, Neue Pakete für "Safari 14" wurden hinzugefügt.
Weitere Verbesserungen sind die Fähigkeit der Malware, auf die neuesten macOS-Versionen abzuzielen:
Die neuesten Module der Malware, B. das neue Modul icons.php führt Änderungen an den Symbolen ein, um sie an das Betriebssystem des Opfers anzupassen. Beispielsweise, ein gefälschtes Finder-Symbol für MacOS-Versionen 10.15 und niedriger hat eine heruntergeladene Symboldatei namens Finder.icns mit quadratischen Ecken, während macOS 11.1 hat eine heruntergeladene Symboldatei mit dem Namen FinderBigSur.icns und ein Symbol mit abgerundeten Ecken, um die in Big Sur verwendeten zu imitieren.
Mit anderen Worten, Die Malware kann auch Nachahmungs-Apps für Big Sur erstellen, erstellt aus schädlichen AppleScript-Dateien, in dem Symboldateien von einem Command-and-Control-Server heruntergeladen werden. Die Malware ändert dann ihre info.plist-Dateien so, dass das Symbol der gefälschten App überzeugend als das der legitimen App getarnt wird, die sie zu imitieren versucht," Trend Micro sagt.
Da sich XCSSET über maßgeschneiderte Xcode-Projekte verbreitet, Entwickler sind ständig einem Infektionsrisiko ausgesetzt, indem sie ihre Projekte auf GitHub teilen und andere ahnungslose Entwickler weiter infizieren. Dies könnte die Möglichkeit eines Supply-Chain-ähnlichen Angriffs für Entwickler schaffen, die die infizierten Repositorys als Abhängigkeiten in ihren Projekten verwenden.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: