MacOS-бэкдор атакует разработчиков iOS-приложений

MacOS-бэкдор атакует разработчиков iOS-приложений

Вредоносное ПО XcodeSpy состоит из скрипта Run Script, добавленного в легитимный Xcode-проект TabBarInteraction.

Специалисты ИБ-компании SentinelOne рассказали о новом типе вредоносного ПО для macOS, которое используется в атаках на разработчиков iOS через троянизированные проекты Xcode.

Вредоносное ПО XcodeSpy состоит из Run Script, добавленного в легитимный Xcode-проект под названием TabBarInteraction. Этот вредоносный скрипт запускается при каждой разработке Xcode-проекта, устанавливает LaunchAgent для сохранения персистентности после перезагрузки системы, а затем загружает вторичную полезную нагрузку - macOS-бэкдор EggShell.

По словам экспертов, проанализировавших бэкдор, он обладает функциями записи аудио через микрофон устройства жертвы, а также записи видео и набранного текста на клавиатуре. Кроме того, EggShell позволяет загружать и выгружать файлы.

Хотя управляющая LaunchAgent инфраструктура серверов XcodeSpy была отключена, исследователю безопасности SentinelOne Филу Стоуксу (Phil Stokes) удалось найти несколько установок бэкдора EggShell, загруженных на VirusTotal.

Стоукс впервые узнал о бэкдоре от анонимного исследователя, обнаружившего его в сетях некой американской компании. Как сообщили представители компании, она регулярно подвергается кибератакам со стороны северокорейских APT-групп, и EggShell был обнаружен в процессе регулярных сканирований сети на признаки присутсвия в ней северокорейских хакеров. Однако, как отметил Стоукс, на 100% связать EggShell с северокорейскими APT-группами экспертам не удалось.

Основываясь на собранных в ходе расследования сведениях, специалисты считают, что злоумышленники были активны в период с июля по октябрь 2020 года и в первую очередь атаковали разработчиков из Азии.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!