Beveiligingsonderzoekers waarschuwen voor een nieuw stuk malware dat specifiek gericht is op iOS-ontwikkelaars. Bekend als XcodeSpy, de malware is een getrojaniseerde versie van een legitieme app.
XcodeSpy: Trojanized Xcode-project gericht op iOS-ontwikkelaars
Sentinel Labs-onderzoekers kwamen onlangs op de hoogte van een trojanized Xcode-project gericht op iOS-ontwikkelaars. Het project is een kwaadaardige versie van een legitiem, open-sourceproject beschikbaar op GitHub, waardoor iOS-programmeurs verschillende geavanceerde functies kunnen gebruiken voor het animeren van de iOS-tabbalk.
Volgens Sentinel Labs rapport, XcodeSpy is gewijzigd om een versluierd Run Script uit te voeren zodra het builddoel van de ontwikkelaar is gelanceerd. Het doel van het script is om contact op te nemen met de command-and-control-server van de aanvaller, en laat een aangepaste variant van de achterdeur van de EggShell op de machine. Om persistentie te bereiken op de geïnfecteerde host, de malware installeert een gebruiker Launch Agent. De malware kan ook informatie van de microfoon opnemen, camera, en toetsenbord.
“De XcodeSpy-infectievector kan worden gebruikt door andere bedreigingsactoren, en alle Apple-ontwikkelaars die Xcode gebruiken, wordt aangeraden voorzichtig te zijn bij het adopteren van gedeelde Xcode-projecten,”, Waarschuwden de onderzoekers in hun rapport.
Twee varianten van de payload ontdekt
De onderzoekers ontdekten twee varianten van de backdoor-payload, beide bevatten een aantal gecodeerde command-and-control-URL's en gecodeerde tekenreeksen voor verschillende bestandspaden. “Een gecodeerde string in het bijzonder wordt gedeeld tussen het gemanipuleerde Xcode-project en de aangepaste achterdeurtjes, door ze aan elkaar te koppelen als onderdeel van dezelfde ‘XcodeSpy’ -campagne,'Zei Sentinel Labs.
Bovendien, de XcodeSpy-malware kan misbruik maken van een ingebouwde functie van Apple's IDE waardoor ontwikkelaars een aangepast shell-script kunnen uitvoeren. De techniek kan gemakkelijk worden geïdentificeerd; echter, onervaren ontwikkelaars zijn zich mogelijk niet bewust van de functie Script uitvoeren, waardoor ze het risico lopen het schadelijke script uit te voeren.
Ten minste één Amerikaanse organisatie is het doelwit van deze aanvallen. Ook Apple-ontwikkelaars in Azië lopen mogelijk gevaar.
Monsters van de achterdeurtjes zijn in augustus geüpload naar VirusTotal 5 en oktober 13 afgelopen jaar, terwijl de XcodeSpy-malware voor het eerst werd geüpload in september 4. Sentinal Labs, echter, denken dat de aanvallers de monsters hebben geüpload om de detectiepercentages te testen.
In 2019, een de XcodeGhost-malware werd in het wild aangetroffen. Het was ook een aangepaste versie van een echte ontwikkelomgeving, ontworpen om net als het echte programma te lijken zonder enig teken te geven dat het een gevaarlijke soort was.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: