Diario Informe

El nuevo malware XcodeSpy se dirige a los desarrolladores de iOS en ataques a la cadena de suministro

manzana

Un proyecto de Xcode malicioso conocido como XcodeSpy está dirigido a desarrolladores de iOS en un ataque a la cadena de suministro para instalar una puerta trasera macOS en la computadora del desarrollador.

Xcode es un entorno de desarrollo de aplicaciones gratuito creado por Apple que permite a los desarrolladores crear aplicaciones que se ejecutan en macOS, iOS, tvOS y watchOS.

Al igual que otros entornos de desarrollo, es común que los desarrolladores creen proyectos que realicen funciones específicas y los compartan en línea para que otros desarrolladores puedan agregarlos a sus propias aplicaciones.

Los creadores de amenazas crean cada vez más versiones maliciosas de proyectos populares con la esperanza de que se incluyan en las aplicaciones de otros desarrolladores. Cuando se compilan estas aplicaciones, el componente malicioso infectará su computadora en un ataque a la cadena de suministro.

Índice de contenidos
  1. Proyecto Xcode utilizado en un ataque a la cadena de suministro
  2. Los proyectos de desarrollo también se dirigieron a Windows

Proyecto Xcode utilizado en un ataque a la cadena de suministro

Investigadores de la empresa de ciberseguridad SentinelOne han descubierto una versión maliciosa del iOS legítimo TabBarInteraction El proyecto Xcode se implementa en un ataque a la cadena de suministro.

Como parte del ataque, los actores de la amenaza clonaron el proyecto TabBarInteraction legítimo y agregaron un script "Run Script" ofuscado y malicioso al proyecto, como se muestra a continuación. Esta versión maliciosa del proyecto fue llamada "XcodeSpy" por SentinelOne.

TabBarInteraction malicioso con script de ejecución ofuscado
TabBarInteraction malicioso con script de ejecución ofuscado

Cuando se crea el proyecto, Xcode ejecutará automáticamente Run Script para volver a abrir un shell remoto en el servidor del actor de amenazas, cralev.me.

"La secuencia de comandos crea un archivo oculto llamado .tag en /tmp directorio, que contiene un solo comando: mdbcmd. Esto, a su vez, se transmite a través de un caparazón inverso a los atacantes C2 ", explica el investigador de SentinelOne, Phil Stokes, en un Nueva relación.

Comando Ejecutar Script Desofuscado
Comando Ejecutar Script Desofuscado

Cuando SentinelOne se enteró de este proyecto malicioso, el servidor de comando y control ya no estaba disponible, por lo que no está claro qué acciones se realizaron a través del shell inverso.

Sin embargo, SentinelOne descubrió dos muestras de malware cargadas en VirusTotal que contienen la misma cadena "/private/tmp/.tag" para indicar que eran parte de este ataque.

"Cuando descubrimos el proyecto Xcode malicioso, el C2 en cralev[.]me ya estaba fuera de línea, por lo que el resultado del archivo no se pudo determinar directamente mdbcmd mando. Afortunadamente, sin embargo, hay dos ejemplos de la puerta trasera EggShell en VirusTotal que contienen la cadena XcodeSpy reveladora /private/tmp/.tag. ", dice el informe.

La puerta trasera EggShell permite que las amenazas carguen archivos, descarguen archivos, ejecuten comandos y espíen el micrófono, la cámara y la actividad del teclado de la víctima.

En la actualidad, SentinelOne solo tiene conocimiento de una víctima destacada de este ataque y no está claro cómo se distribuyó el proyecto malicioso Xcode.

"No tenemos ningún dato sobre la distribución y esto es algo que nos gustaría mucho escuchar más de la comunidad en general. Parte de nuestra motivación para publicarlo ahora es crear conciencia y ver si salen a la luz de la exhibición, Stokes le dijo a BleepingComputer.

Los proyectos de desarrollo también se dirigieron a Windows

Los proyectos de desarrollo maliciosos también se han utilizado recientemente para apuntar a desarrolladores de Windows.

En enero, Google reveló que el grupo de piratas informáticos norcoreano Lazarus estaba llevando a cabo ataques de ingeniería social contra investigadores de seguridad.

Para llevar a cabo sus ataques, los actores de amenazas crearon personajes en línea de "investigadores de seguridad" que se utilizan para contactar a los investigadores de seguridad para colaborar en el desarrollo de vulnerabilidades y exploits.

Como parte de esta colaboración, los atacantes enviaron proyectos maliciosos de Visual Studio que instalarían puertas traseras personalizadas en las computadoras del investigador una vez creadas.

Para prevenir este tipo de ataques, cuando los desarrolladores usan paquetes de terceros en sus proyectos, siempre deben escanearlos en busca de scripts de compilación que se ejecuten cuando se compila el proyecto.

Si algo parece sospechoso, los desarrolladores no deberían usar el paquete.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings