Xcode项目正被利用来传播一种Mac恶意软件,专门危害Safari和其他浏览器。
XCSSET恶意软件家族在Xcode项目中被发现,“导致恶意负载的兔子洞,“Trend Micro周四说。
在一篇探讨攻击浪潮的论文中,网络安全研究人员表示,一个开发者项目中的“不寻常”感染还包括发现了两个零日漏洞。
Xcode是一个免费的集成开发环境(IDE),用于macOS开发与苹果相关的软件和应用程序。
虽然目前还不清楚XCSSET是如何通过蠕虫进入Xcode的Trend Micro说,一旦嵌入,然后,恶意软件会在项目生成时运行。
”大概是这样的,“这些系统将主要由开发人员使用,”该团队指出这些Xcode项目已被修改,以便在构建时,这些项目将运行恶意代码。这最终导致主要的XCSSET恶意软件被丢弃并在受影响的系统上运行。“
许多受影响的开发人员在GitHub上共享了他们的项目,研究人员称,这可能会导致“用户在自己的项目中依赖这些存储库,从而导致类似供应链的攻击。”
一旦攻击了易受攻击的系统,XCSSET就会攻击包括Safari开发版本在内的浏览器,利用漏洞窃取用户数据。
以Safari为例,两个bug中的第一个是datavault中的一个缺陷。发现了一种绕过方法,它可以绕过macOS通过SSHD为Safari cookie文件设置的保护。
注意的第二个漏洞是由于Safari WebKit的操作方式造成的。正常情况下,启动工具包需要用户提交密码,但发现了一个旁路,可用于通过未沙盒的Safari浏览器执行恶意操作。似乎也有可能执行Dylib劫持。
安全问题允许读取和转储Safari cookies,然后这些数据包通过通用跨站点脚本(UXSS)攻击将基于JavaScript的后门注入显示的页面中。
CNET:国土安全部详细介绍了在美国边境提取设备数据的新工具
Trend Micro认为,攻击链中的UXSS元素不仅可用于窃取一般用户信息,但也可以通过修改浏览器会话来显示恶意网站、更改加密货币钱包地址、获取Apple Store信用卡信息以及从包括Apple ID、Google、Paypal和Yandex在内的来源窃取凭据。
该恶意软件还能够从Skype、Telegram、QQ和微信应用程序窃取各种其他用户数据,包括Evernote内容、Notes信息和通信。
此外,XCSSET可以截图、过滤数据并将窃取的文件发送到指挥控制(C2)服务器,它还包含一个勒索软件模块,用于文件加密和勒索请求消息。
TechRepublic:根据VPN数据,美国和英国的工人仍然每天多记录2个小时的日志
只发现了两个包含恶意软件的Xcode项目,加上380个受害者IP(其中大部分位于中国和印度),但感染媒介仍然是一个重要因素。
“使用的分配方法只能用聪明来形容,”Trend Micro说受影响的开发者会在不知不觉中以被破坏的Xcode项目的形式将恶意木马程序分发给他们的用户,而验证分布式文件的方法(如检查哈希值)将无济于事,因为开发人员不会意识到他们正在分发恶意文件。“
ZDNet已联系Trend Micro和Apple如果有其他查询,我们会在收到回复后更新。
有什么建议吗?通过WhatsApp |信号安全联系,电话+447713 025 499,或访问Keybase:charlie0
