MacOS-бэкдор атакует разработчиков iOS-приложений

Пт 19 Март 2021 10:10

Специалисты ИБ-компании SentinelOne рассказали о новом типе вредоносного ПО для macOS, которое используется в атаках на разработчиков iOS через троянизированные проекты Xcode.

Вредоносное ПО XcodeSpy состоит из Run Script, добавленного в легитимный Xcode-проект под названием TabBarInteraction. Этот вредоносный скрипт запускается при каждой разработке Xcode-проекта, устанавливает LaunchAgent для сохранения персистентности после перезагрузки системы, а затем загружает вторичную полезную нагрузку - macOS-бэкдор EggShell.

По словам экспертов, проанализировавших бэкдор, он обладает функциями записи аудио через микрофон устройства жертвы, а также записи видео и набранного текста на клавиатуре. Кроме того, EggShell позволяет загружать и выгружать файлы.

Хотя управляющая LaunchAgent инфраструктура серверов XcodeSpy была отключена, исследователю безопасности SentinelOne Филу Стоуксу (Phil Stokes) удалось найти несколько установок бэкдора EggShell, загруженных на VirusTotal.

Стоукс впервые узнал о бэкдоре от анонимного исследователя, обнаружившего его в сетях некой американской компании. Как сообщили представители компании, она регулярно подвергается кибератакам со стороны северокорейских APT-групп, и EggShell был обнаружен в процессе регулярных сканирований сети на признаки присутсвия в ней северокорейских хакеров. Однако, как отметил Стоукс, на 100% связать EggShell с северокорейскими APT-группами экспертам не удалось.

Основываясь на собранных в ходе расследования сведениях, специалисты считают, что злоумышленники были активны в период с июля по октябрь 2020 года и в первую очередь атаковали разработчиков из Азии.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 132 дня 12 часов 13 минут 12 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.