Pesquisadores de segurança estão alertando sobre um novo malware que visa especificamente desenvolvedores iOS. Conhecido como XcodeSpy, o malware é uma versão trojanizada de um aplicativo legítimo.
XcodeSpy: Projeto Xcode Trojanized destinado a desenvolvedores iOS
Pesquisadores do Sentinel Labs recentemente tomaram conhecimento de um projeto Xcode trojanizado voltado para desenvolvedores iOS. O projeto é uma versão maliciosa de um legítimo, projeto de código aberto disponível no GitHub, permitindo que programadores de iOS usem vários recursos avançados para animar a barra de guias do iOS.
De acordo com o Sentinel Labs relatório, XcodeSpy foi alterado para executar um Run Script ofuscado assim que o alvo de compilação do desenvolvedor for lançado. O objetivo do script é entrar em contato com o servidor de comando e controle do invasor, e solte uma variante personalizada de a porta traseira do EggShell na máquina. Para conseguir persistência no hospedeiro infectado, o malware instala um agente de inicialização do usuário. O malware também pode registrar informações do microfone, Câmera, e teclado.
“O vetor de infecção XcodeSpy pode ser usado por outros agentes de ameaças, e todos os desenvolvedores da Apple que usam Xcode são aconselhados a ter cuidado ao adotar projetos Xcode compartilhados,”Alertaram os pesquisadores em seu relatório.
Duas variantes da carga útil descoberta
Os pesquisadores descobriram duas variantes da carga útil backdoor, ambos contendo uma série de URLs de comando e controle criptografados e strings criptografadas para vários caminhos de arquivo. “Uma string criptografada em particular é compartilhada entre o projeto corrigido do Xcode e os backdoors personalizados, vinculando-os como parte da mesma campanha ‘XcodeSpy’,”Sentinel Labs disse.
além disso, o malware XcodeSpy pode abusar de um recurso integrado do IDE da Apple, permitindo que os desenvolvedores executem um script de shell personalizado. A técnica pode ser identificada facilmente; Contudo, desenvolvedores inexperientes podem não estar cientes do recurso Executar script, colocando-os em risco de executar o script malicioso.
Pelo menos uma organização dos EUA foi alvo desses ataques. Os desenvolvedores da Apple na Ásia também podem estar em risco.
Amostras dos backdoors foram enviadas ao VirusTotal em agosto 5 e outubro 13 ano passado, enquanto o malware XcodeSpy foi enviado pela primeira vez em setembro 4. Laboratórios Sentinais, Contudo, acreditam que os invasores podem ter enviado as amostras para testar as taxas de detecção.
No 2019, uma o malware XcodeGhost foi detectado na natureza. Também era uma versão modificada de um ambiente de desenvolvimento real, projetado para parecer com o programa real, sem dar nenhum sinal de que era uma cepa perigosa.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: