En mars, 2021, Les chercheurs de Sentinel Labs ont pris connaissance d'un Projet Xcode trojanisé ciblant les développeurs iOS. Le projet était une version malveillante d'un, projet open-source disponible sur GitHub, permettre aux programmeurs iOS d'utiliser plusieurs fonctionnalités avancées pour animer la barre d'onglets iOS.
Malware XCSSET équipé de nouvelles fonctionnalités dangereuses
Maintenant, une campagne similaire cible à nouveau les développeurs Xcode, cette fois équipée de Mac exécutant les nouvelles puces M1 d’Apple. Le malware est également capable de voler des informations sensibles à partir d'applications de crypto-monnaie.
Le malware XCSSET a été découvert pour la première fois en août, 2020, quand il se propageait via des projets Xcode IDE modifiés. Le logiciel malveillant agit généralement en reconditionnant les modules de charge utile pour apparaître comme des applications Mac légitimes., qui finissent par infecter les projets Xcode locaux. Les modules du malware incluent le vol d'informations d'identification, capture d'écran, injecter du JavaScript malveillant dans des sites Web, vol de données d'application, et dans certains cas, même les capacités de ransomware.
Les nouvelles variantes XCSSET sont compilées pour les puces Apple M1, Une étude de Kaspersky révélée le mois dernier. C'est un signe clair que les opérateurs de logiciels malveillants adaptent leurs programmes malveillants aux dernières technologies Apple.
Quant aux dernières variantes de logiciels malveillants, Trend Micro affirme que XCSSET continue d'exploiter le navigateur Safari pour infecter les sites Web avec des portes dérobées JavaScript dans Universal Cross-site Scripting (UXSS) attaques. Selon le dernier rapport de Trend Micro:
[...] ce malware exploite la version de développement de Safari pour charger des frameworks Safari malveillants et des backdoors JavaScript associés à partir de son C&Serveur C. Il héberge les packages de mise à jour Safari dans le C&Serveur C, puis télécharge et installe les packages pour la version du système d'exploitation de l'utilisateur. Pour s'adapter au tout nouveau Big Sur, de nouveaux packages pour «Safari 14» ont été ajoutés.
D'autres améliorations incluent la capacité du logiciel malveillant à cibler les dernières versions de macOS:
Les derniers modules du malware, comme le nouveau module icons.php introduit des modifications aux icônes pour s'adapter au système d'exploitation de leur victime. Par exemple, une fausse icône du Finder pour les versions de macOS 10.15 et inférieur a un fichier d'icône téléchargé nommé Finder.icns avec des coins carrés, alors que macOS 11.1 a un fichier d'icône téléchargé nommé FinderBigSur.icns et a une icône avec des coins arrondis pour imiter ceux utilisés dans Big Sur.
En d'autres termes, le malware peut également créer des applications d'imitation pour Big Sur, créé à partir de fichiers AppleScript malveillants, dans lequel les fichiers d'icônes sont téléchargés à partir d'un serveur de commande et de contrôle. Le logiciel malveillant modifie ensuite ses fichiers info.plist "afin que l'icône de la fausse application soit déguisée de manière convaincante en celle de l'application légitime qu'il tente d'imiter," dit Trend Micro.
Depuis XCSSET se propage via des projets Xcode sur mesure, les développeurs sont continuellement exposés au risque d'infection en partageant leurs projets sur GitHub et en infectant davantage d'autres développeurs peu méfiants. Cela pourrait créer la possibilité d'une attaque de type chaîne d'approvisionnement pour les développeurs utilisant les référentiels infectés comme dépendances dans leurs projets.