Изследователите разкриха нов тип зловреден софтуер за macOS, който е използван за атака на разработчици на iOS софтуер чрез троянизирани Xcode проекти. Нарича се XcodeSpy и се състои от злонамерен скрипт за изпълнение, добавен към легитимен проект на Xcode, наречен TabBarInteraction.

Зловредният скрипт се задейства всеки пък при изграждане на Xcode проект, инсталирайки LaunchAgent за рестартиране, а след това изтегля допълнителен полезен товар на име EggShell, който служи като заден вход към macOS.

Това става ясно от фирмата за сигурност SentinelOne, която анализира зловредния софтуер в доклад, споделен с The Record.

Този заден вход има функционалност за записване на микрофона, камерата и клавиатурата на жертвата, както и възможността за качване и изтегляне на файлове“, казва Фил Стоукс, изследовател на зловреден софтуер за macOS в SentinelOne.

Той казва, че са успели да открият няколко екземпляза на EggShell, качени в уеб-базирания скенер за злонамерен софтуер VirusTotal, докато сървърната инфраструктура на XcodeSpy, която контролира LaunchAgent, е спряна.

Стоукс споделя, че SentinelOne за първи път е научила за този зловреден софтуер след съвет от анонимен изследовател, който е открил екземпляр на EggShell в мрежата на американска компания.

Жертвата съобщи, че те многократно са обект на нападение от севернокорейци, използващи APT, и заразата  е излязла наяве при изпълнението на редовните дейности за откриване на заплахи“, казва Стоукс пред The ​​Record и добавя, че все пак не могат окончателно да свържат зловредния софтуер с операция на национална държава. „Част от нашата мотивация да публикуваме това сега, е да повишим осведомеността в кибер общността с надеждата да съберем повече информация. Предвид ограничените данни, с които разполагаме в момента, не можем да направим никакви заключения относно източника на заплахата“.

Стоукс настоятелно призовава всички разработчици на macOS да проверят своите Xcode проекти за наличие на злонамерени Run Scripts.

Екипът на SentinelOne предоставя команда, която може да помогне на разработчиците на софтуер на macOS да открият следи от злонамерени скриптове за изпълнение на XcodeSpy в своите проекти.

Тагове: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
img alt
img alt