Les chercheurs en sécurité mettent en garde contre un nouveau logiciel malveillant ciblant spécifiquement les développeurs iOS. Connu sous le nom de XcodeSpy, le malware est une version trojanisée d'une application légitime.
XcodeSpy: Projet Trojanized Xcode ciblant les développeurs iOS
Les chercheurs de Sentinel Labs ont récemment pris connaissance d'un projet de cheval de Troie Xcode ciblant les développeurs iOS. Le projet est une version malveillante d'un, projet open-source disponible sur GitHub, permettre aux programmeurs iOS d'utiliser plusieurs fonctionnalités avancées pour animer la barre d'onglets iOS.
Selon Sentinel Labs rapport, XcodeSpy a été modifié pour exécuter un script d'exécution obscurci une fois que la cible de compilation du développeur est lancée. Le but du script est de contacter le serveur de commande et de contrôle des attaquants, et déposez une variante personnalisée de la porte dérobée EggShell sur la machine. Pour obtenir la persistance sur l'hôte infecté, le malware installe un utilisateur Launch Agent. Le logiciel malveillant peut également enregistrer des informations à partir du microphone, caméra, et clavier.
«Le vecteur d'infection XcodeSpy pourrait être utilisé par d'autres acteurs de la menace, et tous les développeurs Apple utilisant Xcode sont invités à faire preuve de prudence lors de l'adoption de projets Xcode partagés,”Les chercheurs ont mis en garde dans leur rapport.
Deux variantes de la charge utile découvertes
Les chercheurs ont découvert deux variantes de la charge utile de la porte dérobée, tous deux contenant un certain nombre d'URL de commande et de contrôle chiffrées et des chaînes chiffrées pour divers chemins de fichiers. «Une chaîne chiffrée en particulier est partagée entre le projet Xcode trafiqué et les portes dérobées personnalisées, en les associant dans le cadre de la même campagne «XcodeSpy»,”A déclaré Sentinel Labs.
En outre, le malware XcodeSpy peut abuser d'une fonctionnalité intégrée de l'IDE d'Apple permettant aux développeurs d'exécuter un script shell personnalisé. La technique peut être identifiée facilement; cependant, les développeurs inexpérimentés peuvent ne pas être conscients de la fonctionnalité Exécuter le script, ce qui les expose à un risque d'exécuter le script malveillant.
Au moins une organisation américaine a été visée par ces attaques. Les développeurs Apple en Asie peuvent également être à risque.
Des échantillons des portes dérobées ont été téléchargés sur VirusTotal en août 5 et Octobre 13 l'année dernière, alors que le malware XcodeSpy a été téléchargé pour la première fois en septembre 4. Laboratoires sentinaux, cependant, pense que les attaquants ont peut-être téléchargé les échantillons pour tester les taux de détection.
Dans 2019, une le malware XcodeGhost a été détecté dans la nature. C'était aussi une version modifiée d'un véritable environnement de développement, conçu pour ressembler au vrai programme sans donner aucun signe qu'il s'agissait d'une souche dangereuse.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: