I ricercatori di sicurezza stanno avvertendo di un nuovo pezzo di malware rivolto specificamente agli sviluppatori iOS. Conosciuto come XcodeSpy, il malware è una versione trojan di un'app legittima.
XcodeSpy: Progetto Xcode con trojan rivolto a sviluppatori iOS
I ricercatori di Sentinel Labs sono venuti di recente a conoscenza di un progetto Xcode con trojan rivolto agli sviluppatori iOS. Il progetto è una versione dannosa di un file legittimo, progetto open-source disponibile su GitHub, consentendo ai programmatori iOS di utilizzare diverse funzionalità avanzate per animare la barra delle schede iOS.
Secondo Sentinel Labs rapporto, XcodeSpy è stato modificato per eseguire uno script di esecuzione offuscato una volta avviato il target di build dello sviluppatore. Lo scopo dello script è contattare il server di comando e controllo degli aggressori, e rilascia una variante personalizzata di la backdoor di EggShell sulla macchina. Per ottenere la persistenza sull'host infetto, il malware installa un utente Launch Agent. Il malware può anche registrare informazioni dal microfono, telecamera, e tastiera.
“Il vettore di infezione XcodeSpy potrebbe essere utilizzato da altri attori della minaccia, e tutti gli sviluppatori Apple che utilizzano Xcode sono invitati a prestare attenzione quando adottano progetti Xcode condivisi,"Hanno avvertito i ricercatori nel loro rapporto.
Scoperte due varianti del carico utile
I ricercatori hanno scoperto due varianti del payload backdoor, entrambi contengono una serie di URL di comando e controllo crittografati e stringhe crittografate per vari percorsi di file. “Una stringa crittografata in particolare è condivisa tra il progetto Xcode modificato e le backdoor personalizzate, collegandoli insieme come parte della stessa campagna "XcodeSpy","Ha detto Sentinel Labs.
Inoltre, il malware XcodeSpy può abusare di una funzionalità incorporata dell'IDE di Apple che consente agli sviluppatori di eseguire uno script di shell personalizzato. La tecnica può essere identificata facilmente; tuttavia, Gli sviluppatori inesperti potrebbero non essere a conoscenza della funzionalità Esegui script che li mette a rischio di eseguire lo script dannoso.
Almeno un'organizzazione statunitense è stata presa di mira da questi attacchi. Anche gli sviluppatori Apple in Asia potrebbero essere a rischio.
I campioni delle backdoor sono stati caricati su VirusTotal ad agosto 5 e ottobre 13 l'anno scorso, mentre il malware XcodeSpy è stato caricato per la prima volta a settembre 4. Sentinal Labs, tuttavia, ritengono che gli aggressori possano aver caricato i campioni per testare i tassi di rilevamento.
In 2019, un il malware XcodeGhost è stato rilevato in natura. Era anche una versione modificata di un vero ambiente di sviluppo, progettato per apparire proprio come il programma reale senza dare alcun segno che si trattasse di un ceppo pericoloso.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: