In maart, 2021, Sentinel Labs-onderzoekers werden zich bewust van een trojanized Xcode-project gericht op iOS-ontwikkelaars. Het project was een kwaadaardige versie van een legitiem, open-sourceproject beschikbaar op GitHub, waardoor iOS-programmeurs verschillende geavanceerde functies kunnen gebruiken voor het animeren van de iOS-tabbalk.
XCSSET Malware uitgerust met nieuwe gevaarlijke mogelijkheden
Nu, een soortgelijke campagne richt zich opnieuw op Xcode-ontwikkelaars, deze keer uitgerust met Macs met de nieuwe M1-chips van Apple. De malware is ook in staat om gevoelige informatie van cryptocurrency-applicaties te stelen.
De XCSSET-malware werd voor het eerst ontdekt in augustus, 2020, toen het zich verspreidde via gewijzigde Xcode IDE-projecten. De malware handelt meestal door payloadmodules opnieuw te verpakken zodat ze verschijnen als legitieme Mac-apps, die uiteindelijk lokale Xcode-projecten infecteren. De modules van de malware omvatten het stelen van inloggegevens, screenshot vastleggen, het injecteren van kwaadaardig JavaScript in websites, het stelen van app-gegevens, en in sommige gevallen, zelfs ransomware-mogelijkheden.
Nieuwere XCSSET-varianten zijn gecompileerd voor Apple M1-chips, Kaspersky-onderzoek onthulde vorige maand. Dit is een duidelijk teken dat de malware-operators hun malware aanpassen aan de nieuwste Apple-technologieën.
Wat betreft de nieuwste malwarevarianten, Trend Micro zegt dat XCSSET de Safari-browser blijft gebruiken om websites met JavaScript-backdoors in Universal Cross-site Scripting te infecteren (UXSS) aanvallen. Volgens het laatste rapport van Trend Micro:
[...] deze malware maakt gebruik van de ontwikkelingsversie van Safari om kwaadaardige Safari-frameworks en gerelateerde JavaScript-backdoors te laden vanaf zijn C&C server. Het host Safari-updatepakketten in de C&C server, downloadt en installeert vervolgens pakketten voor de OS-versie van de gebruiker. Om je aan te passen aan de nieuw uitgebrachte Big Sur, er zijn nieuwe pakketten voor "Safari 14" toegevoegd.
Andere verbeteringen zijn onder meer de mogelijkheid van de malware om zich te richten op de nieuwste macOS-versies:
De nieuwste modules van de malware, zoals de nieuwe icons.php-module introduceert wijzigingen in de pictogrammen die passen bij het besturingssysteem van hun slachtoffer. Bijvoorbeeld, een nep Finder-pictogram voor macOS-versies 10.15 en lager heeft een gedownload pictogrambestand met de naam Finder.icns met vierkante hoeken, terwijl macOS 11.1 heeft een gedownload pictogrambestand met de naam FinderBigSur.icns en heeft een pictogram met afgeronde hoeken om de pictogrammen na te bootsen die in Big Sur worden gebruikt.
Met andere woorden, de malware kan ook imitatie-apps maken voor Big Sur, gemaakt op basis van kwaadaardige AppleScript-bestanden, waarin pictogrambestanden worden gedownload van een command-and-control-server. De malware past vervolgens hun info.plist-bestanden aan "zodat het pictogram van de nep-app overtuigend wordt vermomd als dat van de legitieme app die het probeert te imiteren.," Trend Micro zegt.
Omdat XCSSET zich verspreidt via op maat gemaakte Xcode-projecten, ontwikkelaars lopen voortdurend risico op infectie door hun projecten op GitHub te delen en andere nietsvermoedende ontwikkelaars verder te infecteren. Dit zou de mogelijkheid kunnen creëren van een supply chain-achtige aanval voor ontwikkelaars die de geïnfecteerde repositories gebruiken als afhankelijkheden in hun projecten.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: