Τα Xcode projects αξιοποιούνται για τη διάδοση μιας μορφής κακόβουλου λογισμικού Mac που ειδικεύεται στην παραβίαση του Safari και άλλων προγραμμάτων περιήγησης.
Η οικογένεια κακόβουλων προγραμμάτων XCSSET έχει βρεθεί σε Xcode projects, “οδηγεί σε μια τρύπα κακόβουλων ωφέλιμων φορτίων”, δήλωσε η Trend Micro την Πέμπτη.
Σε ένα έγγραφο (.PDF) που εξερευνά το κύμα των επιθέσεων, οι ερευνητές της κυβερνοασφάλειας ανέφεραν ότι μια «ασυνήθιστη» μόλυνση σε ένα project ενός προγραμματιστή περιλάμβανε επίσης την ανακάλυψη δύο ευπαθειών zero-day.
Το Xcode είναι ένα δωρεάν ολοκληρωμένο περιβάλλον ανάπτυξης (IDE) που χρησιμοποιείται σε macOS για την ανάπτυξη λογισμικού και εφαρμογών που σχετίζονται με την Apple.
Παρόλο που δεν είναι ακόμη σαφές πώς το XCSSET “κατευθύνεται” σε Xcode projects, η Trend Micro λέει ότι μόλις ενσωματωθεί, το κακόβουλο λογισμικό εκτελείται όταν δημιουργείται ένα project.
«Προφανώς, αυτά τα συστήματα θα χρησιμοποιούνται κυρίως από προγραμματιστές», σημείωσε η ομάδα. “Αυτά τα Xcode projects έχουν τροποποιηθεί έτσι ώστε να εκτελούν κακόβουλο κώδικα. Αυτό τελικά οδηγεί στην εισαγωγή και την εκτέλεση του κύριου κακόβουλου λογισμικού XCSSET στο επηρεαζόμενο σύστημα.”
Ορισμένοι προγραμματιστές που έχουν επηρεαστεί έχουν μοιραστεί τα projects τους στο GitHub, το οποίο οι ερευνητές λένε ότι θα μπορούσε να οδηγήσει σε “επιθέσεις τύπου αλυσίδας εφοδιασμού για χρήστες που βασίζονται σε αυτά τα αποθετήρια ως εξαρτήσεις στα δικά τους project.”
Μόλις βρεθεί σε ένα ευάλωτο σύστημα, το XCSSET ενισχύει τα προγράμματα περιήγησης, συμπεριλαμβανομένης της έκδοσης του Safari, χρησιμοποιώντας τρωτά σημεία για να κλέψει τα δεδομένα του χρήστη.
Στην περίπτωση του Safari, το πρώτο από τα δύο σφάλματα είναι ένα ελάττωμα στο Data Vault. Βρέθηκε μια μέθοδο παράκαμψης που παρακάμπτει την macOS προστασία που εφαρμόζεται για αρχεία cookie Safari μέσω SSHD.
Η δεύτερη ευπάθεια οφείλεται στον τρόπο λειτουργίας του Safari WebKit. Κανονικά, για την εκκίνηση του κιτ απαιτείται από τον χρήστη να υποβάλει τον κωδικό πρόσβασής του, αλλά βρέθηκε παράκαμψη που μπορεί να χρησιμοποιηθεί για την εκτέλεση κακόβουλων λειτουργιών μέσω του προγράμματος περιήγησης Safari που δεν διαθέτει sandbox. Φαίνεται επίσης δυνατό να εκτελεστεί hijacking Dylib.
Τα ζητήματα ασφαλείας επιτρέπουν την ανάγνωση και την απόρριψη των cookie Safari και αυτά τα πακέτα δεδομένων χρησιμοποιούνται στη συνέχεια για την έγχυση backdoors που βασίζονται σε JavaScript σε εμφανιζόμενες σελίδες μέσω μιας επίθεσης Universal Cross-site Scripting (UXSS).
Η Trend Micro πιστεύει ότι το στοιχείο UXSS της αλυσίδας επίθεσης θα μπορούσε να χρησιμοποιηθεί όχι μόνο για την κλοπή γενικών πληροφοριών χρήστη, αλλά και ως μέσο τροποποίησης περιόδων σύνδεσης προγράμματος περιήγησης για εμφάνιση κακόβουλων ιστότοπων, αλλαγής διευθύνσεων πορτοφολιού κρυπτογράφησης, συλλογής πληροφοριών πιστωτικής κάρτας Apple Store και κλοπής credentials από πηγές όπως το Apple ID, το Google, το Paypal και το Yandex.
Το κακόβουλο λογισμικό μπορεί επίσης να κλέψει μια ποικιλία άλλων δεδομένων χρήστη, όπως το περιεχόμενο Evernote και την επικοινωνία από εφαρμογές Skype, Telegram, QQ και WeChat.
Επιπλέον, το XCSSET μπορεί να τραβήξει στιγμιότυπα οθόνης, να διεκπεραιώσει δεδομένα και να στείλει κλεμμένα αρχεία σε έναν διακομιστή εντολών και ελέγχου (C2), και επίσης περιέχει μια μονάδα ransomware για κρυπτογράφηση αρχείων και εκβιαστικά μηνύματα.
Βρέθηκαν μόνο δύο Xcode projects που φιλοξενούν το κακόβουλο λογισμικό, μαζί με 380 IP θυμάτων – τα περισσότερα από τα οποία βρίσκονται στην Κίνα και την Ινδία – αλλά ο φορέας μόλυνσης εξακολουθεί να είναι σημαντικός.
