Trojanisiertes Xcode-Projekt schleust MacOS-Malware in Apple-Entwickler ein

Cyber Security News

In einer neuen Kampagne bündeln Bedrohungsakteure macOS-Malware in trojanisierten Apple Xcode-Entwicklerprojekten.

Cyberkriminelle zielen auf Apple-Entwickler mit einem trojanisierten Xcode-Projekt ab, das, sobald es gestartet wurde, eine Backdoor mit Spionage- und Datenexfiltrationsfunktionen installiert.

Xcode besteht aus einer Reihe kostenloser, offener Softwareentwicklungswerkzeuge, die von Apple für die Erstellung von Software für macOS, iOS, iPadOS, watchOS und tvOS entwickelt wurden. Daher enthalten alle Apps, die auf dem Projekt aufbauen, automatisch den bösartigen Code.

Das bösartige Xcode-Projekt, das die Forscher XcodeSpy nennen, installiert eine Variante der bekannten EggShell-Backdoor auf dem macOS-Computer des Entwicklers. Diese Backdoor kann das Mikrofon, die Kamera und die Tastaturbewegungen des Opfers aufzeichnen und kann Dateien hoch- und herunterladen.

“Der XcodeSpy-Infektionsvektor könnte von anderen Bedrohungsakteuren genutzt werden, und allen Apple-Entwicklern, die Xcode verwenden, wird geraten, bei der Übernahme von freigegebenen Xcode-Projekten Vorsicht walten zu lassen”, sagte Phil Stokes, Forscher bei SentinelLabs am Donnerstag.

Trojanisiertes Xcode-Projekt

Das trojanisierte Xcode-Projekt ist eine manipulierte Version eines legitimen Open-Source-Projekts, das auf GitHub unter dem Namen TabBarInteraction verfügbar ist. Dieses Projekt bietet iOS-Entwicklern mehrere erweiterte Funktionen für die Animation der iOS-Tab-Leiste basierend auf Benutzerinteraktionen. Dabei ist zu beachten, dass es sich bei der trojanisierten Version um eine Kopie handelt und das legitime GitHub-Projekt (und dessen Entwickler) in keiner Weise in die Malware-Operation verwickelt ist, betonten die Forscher.

Die manipulierte Version des Projekts enthält ein obfuscated malscript in der Build Phases tab. Die Forscher sagten, dass die Angreifer diese Registerkarte ausnutzten, weil sie standardmäßig nicht ausgeklappt ist, was es einfacher macht, unentdeckt zu bleiben.

“XcodeSpy nutzt eine eingebaute Funktion von Apples IDE aus, die es Entwicklern ermöglicht, ein benutzerdefiniertes Shell-Skript beim Start einer Instanz ihrer Zielanwendung auszuführen”, so die Forscher. “Während die Technik leicht zu identifizieren ist, wenn man darauf achtet, sind neue oder unerfahrene Entwickler, die sich der Funktion “Run Script” nicht bewusst sind, besonders gefährdet, da es keine Display in der Konsole oder im Debugger gibt, die auf die Ausführung des bösartigen Skripts hinweist.”

Wenn das Build-Ziel des Entwicklers gestartet wird, wird das verschleierte Run-Skript ausgeführt, das den Command-and-Control-Server (C2) der Angreifer kontaktiert, bevor es eine benutzerdefinierte EggShell-Backdoor-Variante ablegt.

“Die Malware installiert einen Benutzer-LaunchAgent für Persistenz und ist in der Lage, Informationen vom Mikrofon, der Kamera und der Tastatur des Opfers aufzuzeichnen”, so die Forscher.

EggShell Backdoor-Variante

Die Forscher fanden zwei Varianten der Nutzlast: Ein Sample wurde am 5. August auf VirusTotal hochgeladen, das zweite am 13. Oktober. Das letztere Muster wurde Ende 2020 auch in freier Wildbahn auf dem Mac eines Opfers in den USA gefunden, so die Forscher.

“Aus Gründen der Vertraulichkeit sind wir nicht in der Lage, weitere Details über den ITW-Vorfall zu liefern”, sagten sie. “Das Opfer berichtete jedoch, dass es immer wieder von nordkoreanischen APT-Akteuren angegriffen wird und die Infektion im Rahmen seiner regelmäßigen Aktivitäten zur Bedrohungsjagd aufgedeckt wurde.”

Xcode-Angriffsvektor

Angreifer haben Xcode bereits früher als ersten Angriffsvektor genutzt, um Entwickler der Apple-Plattform anzugreifen. Im Jahr 2015 fügten Angreifer bösartigen Code (genannt XcodeGhost) in eine Reihe beliebter Apps ein und fanden ein Schlupfloch in Apples Code-Scanning, um sie in den App Store zu schleusen.

Im August wurde eine Kampagne entdeckt, die auf Mac-Anwender abzielte, um die XCSSET-Suite von Malware zu verbreiten, die in der Lage ist, den Safari-Webbrowser zu kapern und verschiedene JavaScript-Nutzdaten zu injizieren. Die Infektionen verbreiteten sich über Xcode-Entwicklerprojekte.

Bei diesem jüngsten Angriff ist es laut den Forschern möglich, dass XcodeSpy es auf bestimmte Entwickler abgesehen hat – es könnte aber auch sein, dass sie Daten für zukünftige Kampagnen sammeln oder versuchen, AppleID-Anmeldedaten für die zukünftige Verwendung zu sammeln.

“Während XcodeSpy anscheinend direkt auf die Entwickler selbst abzielt und nicht auf die Produkte oder Kunden der Entwickler, ist es nur ein kurzer Schritt vom Eindringen in die Arbeitsumgebung eines Entwicklers zur Auslieferung von Malware an die Benutzer der Software dieses Entwicklers”, so die Forscher.

Registrieren Sie sich für diese LIVE-Veranstaltung: 0-Day Disclosures: Good, Bad & Ugly: Am 24. März um 14 Uhr ET befasst sich Threatpost damit, wie Schwachstellen-Enthüllungen ein Risiko für Unternehmen darstellen können. Diskutiert werden sollen Microsoft 0-Days, die in Exchange-Servern gefunden wurden. Schließen Sie sich den 0-Day-Jägern von Intel Corp. und erfahrenen Bug-Bounty-Forschern an, die die 0-Day-Ökonomie entwirren und auspacken werden, was für alle Unternehmen auf dem Spiel steht, wenn es um den Offenlegungsprozess geht. Registrieren Sie sich JETZT für dieses LIVE-Webinar am Mi., 24. März.

Einige Teile dieses Artikels stammen aus:
threatpost.com