Új macOS kártevő programok

2021 új trendje, hogy a támadók nagy tömegeket céloznak meg viszonylag szűk csoportokon keresztül: ennek pedig egyik képviselője az ellátási lánc támadások, míg a másik az, hogy magukat a fejlesztőket  veszik célpontba. Mindkét esetre több példa volt az elmúlt időszakban. A Sentinel Lab kutatói most egy olyan támadási vektor ismertetnek, ami az Apple fejlesztőit célozta meg az Apple Xcode IDE Run Script megosztott funkcióin keresztül.

A támadók a káros tartalmat használó kódokat a GitHubon tették közzé, és nem mutat nagy eltérést a valós tartalmú, legitim, nyílt forráskódú projektekkel szemben, azonban ezt a forrás a támadók átalakították, hogy hátsó ajtót nyisson és kommunikáljon a vezérlő szerverekkel. Akárcsak az eredeti, ez a projekt is az iOS fejlesztőknek kínál számos speciális funkciót az iOS Tab Bar animálására. Az XcodeSpy verziót szinte észrevétlenül megváltoztatták, hogy olyan parancsfájlt futtasson, ami felveszi a kapcsolatot a támadók C2 szerverével, és letölti az EggShell backdoor egy speciális változatát a fejlesztőgépre. A kapcsolatfelvétel után pedig telepíti a LaunchAgent klienst, ami képes információkat rögzíteni az áldozat mikrofonjáról, kamerájáról és billentyűzetéről.

Az XcodeSpy kihasználja az Apple IDE beépített szolgáltatásának előnyeit, amely lehetővé teszi a fejlesztők számára, hogy egyéni shell parancsfájlt futtassanak a célalkalmazás elindításakor. A technika könnyen azonosítható, ha keresik, azonban a tapasztalatlan fejlesztők, akik nem ismerik a Run Script funkciót, veszélyeztetettek, mivel a konzolban vagy a hibakeresőben nincs utalás a rosszindulatú parancsfájl végrehajtására.

FORRÁS