セキュリティ研究者は、特にiOS開発者を対象とした新しいマルウェアの一部について警告しています. XcodeSpyとして知られています, マルウェアは、正規のアプリのトロイの木馬化されたバージョンです.
XcodeSpy: iOS開発者をターゲットにしたトロイの木馬化されたXcodeプロジェクト
Sentinel Labsの研究者は最近、iOS開発者を対象としたトロイの木馬化されたXcodeプロジェクトに気づきました. プロジェクトは正当なものの悪意のあるバージョンです, GitHubで利用可能なオープンソースプロジェクト, iOSプログラマーがiOSタブバーをアニメーション化するためにいくつかの高度な機能を使用できるようにする.
SentinelLabsによると 報告, XcodeSpyは、開発者のビルドターゲットが起動されると、難読化された実行スクリプトを実行するように変更されました。. スクリプトの目的は、攻撃者のコマンドアンドコントロールサーバーに連絡することです。, のカスタムバリアントをドロップします EggShellバックドア マシン上. 感染したホストで永続性を実現するには, マルウェアはユーザーLaunchAgentをインストールします. マルウェアはマイクからの情報も記録できます, カメラ, とキーボード.
「XcodeSpy感染ベクトルは他の脅威アクターによって使用される可能性があります, また、Xcodeを使用するすべてのApple開発者は、共有Xcodeプロジェクトを採用する際に注意を払うことをお勧めします。,」研究者たちは彼らの報告書で警告した.
発見されたペイロードの2つのバリアント
研究者は、バックドアペイロードの2つのバリエーションを発見しました, 暗号化されたコマンドアンドコントロールURLと、さまざまなファイルパスの暗号化された文字列の両方が含まれています. 「特に1つの暗号化された文字列は、ドクターされたXcodeプロジェクトとカスタムバックドアの間で共有されます, 同じ「XcodeSpy」キャンペーンの一部としてそれらをリンクする,」センチネルラボは言った.
さらに, XcodeSpyマルウェアは、AppleのIDEの組み込み機能を悪用して、開発者がカスタムシェルスクリプトを実行できるようにする可能性があります. テクニックは簡単に識別できます; でも, 経験の浅い開発者は、スクリプトの実行機能が悪意のあるスクリプトを実行するリスクにさらされていることに気付いていない可能性があります.
少なくとも1つの米国組織がこれらの攻撃の標的にされています. アジアのApple開発者も危険にさらされている可能性があります.
バックドアのサンプルは8月にVirusTotalにアップロードされました 5 と10月 13 去年, XcodeSpyマルウェアが最初にアップロードされたのは9月です 4. センティナルラボ, でも, 攻撃者が検出率をテストするためにサンプルをアップロードした可能性があると考えます.
の 2019, a XcodeGhostマルウェア 野生で検出されました. また、実際の開発環境の修正バージョンでもありました, 危険な緊張の兆候を示すことなく、実際のプログラムと同じように表示されるように設計されています.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: